强制用户在spring security中更改过期密码

时间:2011-12-12 05:09:10

标签: spring-security change-password

我正在构建基于网络的应用程序的spring mvc和spring security。

我已经实现了重置密码功能。系统管理员将重置任何用户的密码。随机生成的密码将通过电子邮件发送给用户,同样将在数据库中更新。

现在我希望每当用户使用随机生成的密码登录时,我想强制用户更改其密码。

请查看我的用户表。

userid bigint(20)
username varchar(20)
密码varchar(65)
email varchar(50)
firstname varchar(20)
lastname varchar(20)
groupname varchar(50)
启用tinyint(1)
credentialsNonExpired tinyint(1)

我的身份验证提供商     

    <!--
        Configuring Authentication Provider to make use of spring security
        provided Jdbc user management service
    -->
    <authentication-provider user-service-ref="jdbcUserService">
        <!--
            Configuring SHA-1 Password Encoding scheme to secure user credential
        -->
        <password-encoder ref="sha1PasswordEncoder" />
    </authentication-provider>
</authentication-manager>

我使用 JDBCUserDetailsS​​ervice JDBCDaoImpl 扩展为 jdbcUserService

我想在重置密码时将 credentialNonExpired 设置为我的用户表的false列。

我能够做到。

但是当我登录时,弹出安全性 JDBCuserdetailsservice loadUserbyUsername 只获取用户名,密码,已启用的列以及所有字段的其余部分设置为true。

protected List<UserDetails> loadUsersByUsername(String username) {
    return getJdbcTemplate().query(usersByUsernameQuery, new String[] {username}, new RowMapper<UserDetails>() {
        public UserDetails mapRow(ResultSet rs, int rowNum) throws SQLException {
            String username = rs.getString(1);
            String password = rs.getString(2);
            boolean enabled = rs.getBoolean(3);
            return new User(username, password, enabled, true, true, true, AuthorityUtils.NO_AUTHORITIES);
        }

    });
}

但是我想要通过重置密码设置的实际 credentialNonExpired 字段,以便spring安全性会抛出CREDENTIALEXPIREDEXCEPTION。

我通过加载上述方法实现了这一点,但是当用密码过期登录时,是否还有其他方法可以重定向用户更改密码页面。

请告诉我该怎么做?

2 个答案:

答案 0 :(得分:15)

很晚才回答,我不知道你是使用Spring 2还是3。 但是在Spring 3中你可以这样做。

在Spring安全上下文中包含以下内容:

<bean id="securityExceptionTranslationHandler" class="org.springframework.security.web.authentication.ExceptionMappingAuthenticationFailureHandler">
    <property name="exceptionMappings">
        <props>
            <prop key="org.springframework.security.authentication.CredentialsExpiredException">/change_password_page</prop>
        </props>
    </property>
    <property name="defaultFailureUrl" value="/login_generic_error_page"/>
</bean>

当然,您可以将其他特定身份验证例外映射到其他页面。

如果您使用的是表单登录元素,则必须指定authentication-failure-handler-ref属性(如果已使用,则删除authentication-failure-url

<security:form-login ... authentication-failure-handler-ref="securityExceptionTranslationHandler">

最后一步是创建更改密码页面。

请注意,重定向到更改密码页时,用户未经过身份验证。

答案 1 :(得分:1)

您可以尝试子类化SimpleUrlAuthenticationSuccessHandler并实现自定义逻辑以检查密码到期时间。对此SimpleUrlAuthenticationSuccessHandler的引用可以传递给应用程序上下文中的form-login元素。

相关问题
最新问题