spring security从DB获取用户ID

时间:2015-03-29 08:36:37

标签: java spring spring-mvc authentication spring-security

我正在使用spring security进行身份验证,并成功地在我需要的任何地方获取User对象(org.springframework.security.core.userdetails.User)。

但是我也希望UserId,这在春天的User对象中不存在。所以我创建了自己的对象(com.app.site.pojo.User)。它没有其他变量,如 userId 用户出生日期等。现在我希望Spring安全性使用我的user对象而不是spring User宾语。它应该包含该用户的所有详细信息。

我尝试将用户对象的类型转换为我的对象,它抛出异常(很明显)。

我不想再次调用DB来再次从DB获取userId。

我该如何实现?

4 个答案:

答案 0 :(得分:3)

更好的方法是创建一个UserDetaisService,它返回一个扩展您的Object类型并实现UserDetails的对象。这意味着您只需要执行一次数据库查找。

通过让loadUserByUsername的结果实现UserDetails并扩展User对象,您可以将其称为自定义用户对象,Spring Security可以将其称为UserDetails。

例如:

@Service
public class UserRepositoryUserDetailsService implements UserDetailsService {
    private final UserRepository userRepository;

    @Autowired
    public UserRepositoryUserDetailsService(UserRepository userRepository) {
        this.userRepository = userRepository;
    }

    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
        User user = userRepository.findByEmail(username);
        if(user == null) {
            throw new UsernameNotFoundException("Could not find user " + username);
        }
        return new UserRepositoryUserDetails(user);
    }

    private final static class UserRepositoryUserDetails extends User implements UserDetails {

        private UserRepositoryUserDetails(User user) {
            super(user);
        }

        @Override
        public Collection<? extends GrantedAuthority> getAuthorities() {
            return AuthorityUtils.createAuthorityList("ROLE_USER");
        }

        @Override
        public String getUsername() {
            return getEmail();
        }

        @Override
        public boolean isAccountNonExpired() {
            return true;
        }

        @Override
        public boolean isAccountNonLocked() {
            return true;
        }

        @Override
        public boolean isCredentialsNonExpired() {
            return true;
        }

        @Override
        public boolean isEnabled() {
            return true;
        }

        private static final long serialVersionUID = 5639683223516504866L;
    }
}

然后,您可以在配置中引用自定义UserDetailsS​​ervice。例如:

<security:authentication-manager>
  <security:authentication-provider user-service-ref="customUserDetails" />
</security:authentication-manager>
<bean id="customUserDetails" class="sample.UserRepositoryUserDetailsService"/>

如果您使用的是Spring Security 3.2.x +,则可以使用Spring Security的@AuthenticationPrincipal来解析自定义用户对象。例如:

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal CustomUser customUser) {

    // .. find messags for this user and return them ...
}

否则您可以使用以下内容:

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(Authentication auth) {
        User customUser = (User) auth.getPrincipal();
     ...
}

如果使用XML配置,则需要在Spring MVC中注册AuthenticationPrincipalArgumentResolver。

<mvc:annotation-driven>
  <mvc:argument-resolvers>
    <beans:bean class="org.springframework.security.web.bind.support.AuthenticationPrincipalArgumentResolver"/>
  </mvc:argument-resolvers>
</mvc:annotation-driven>

您可以在github sample project中找到有关此内容的详细信息。自述文件还引用了the recorded webinar

答案 1 :(得分:2)

我和你的情况相同,我做的是在登录后将用户重定向到新页面,并创建该页面的控制器功能,以便从DB获取用户并存储他的 id 作为会话变量

    @RequestMapping(value = { "/overview" }, method = RequestMethod.GET)
    public ModelAndView overViewPage(HttpServletRequest request) {

        ModelAndView model = new ModelAndView();
        model.addObject("title", "Spring Security + Hibernate Example");
        model.addObject("message", "This is default page!");
        model.setViewName("hello");


        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        UserDetails userDetail = (UserDetails) auth.getPrincipal();

        User u = userService.getUser(userDetail.getUsername());
        request.getSession().setAttribute("userId", u.getId());

        return model;

    }

您可以使用用户对象或仅使用他的 id 进行以后的查询

int userId = (int) request.getSession().getAttribute("userId");

我的 userService 只是一个简单的服务

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import com.sports.dao.UserDao;

@Service
@Transactional
public class UserServiceImpl implements UserService{

    @Autowired
    private UserDao userDao;

    public com.sports.models.User getUser(String username){
        return userDao.findByUserName(username);
    }

}

我也是新手,所以我不确定这是不是最好的方法。

答案 2 :(得分:0)

<bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
  <property name="userDetailsService" ref="customUserDetailsService" />
</bean>

customUserDetailsS​​ervice将覆盖loadUserByUsername,如下所示

@Override
public UserDetails loadUserByUsername(String username) {
return customUser;
// where customUser extends org.springframework.security.core.userdetails.User
}

您可以在customUser

下拥有自定义字段

答案 3 :(得分:0)

@RequestMapping(value="/getLogedUserid")
public Long getUserByUsername(HttpServletRequest httpServletRequest) {      
    HttpSession httpSession = httpServletRequest.getSession();
    SecurityContext securityContext = (SecurityContext)
            httpSession.getAttribute("SPRING_SECURITY_CONTEXT");
    String username = securityContext.getAuthentication().getName();
    return userMetier.getUserByUsername(username);
}

这里我们有通过用户名

获取id的函数的定义 
    @Override
public Long getUserByUsername(String Username) {
    User user = userRepository.getUserByUsername(Username);

    return user.getIdUser();
}
相关问题
最新问题