我正在考虑通过spring 3安全性实现用户的授权。我知道用户名和密码存储在某个XML文件中,如下所示:
<authentication-manager>
<authentication-provider>
<user-service>
<user name="username" password="123456" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>
但我想知道,如何添加用户或更改密码?有人能告诉我吗?
答案 0 :(得分:2)
user-service元素创建InMemoryUserDetailsManager,其中包含修改用户和更改密码的方法。
但是,在XML中定义用户实际上仅用于测试。如果您希望能够添加和更新用户信息,则应使用数据库。标准的Spring Security数据库模式记录在reference manual。
中然后,您可以使用JDBC UserDetailsManager implementation,也可以构建自己的自定义数据管理代码。
答案 1 :(得分:1)
同意卢克。在XML中存储用户名和密码不是一个好习惯。将用户详细信息存储在数据库中,以便添加修改它们。
创建数据库
CREATE TABLE IF NOT EXISTS users (
username VARCHAR(10) NOT NULL,
password VARCHAR(32) NOT NULL,
enabled BOOLEAN NOT NULL,
PRIMARY KEY (username)
);
CREATE TABLE IF NOT EXISTS authorities (
username VARCHAR(10) NOT NULL,
authority VARCHAR(10) NOT NULL,
FOREIGN KEY (username) REFERENCES users(username)
);
insert into users(username,password,enabled) values ('abc','123456',TRUE);
insert into authorities(username,AUTHORITY) values ('abc', 'ROLE_USER');
这里的表名,根据Spring Security默认查询使用列名('选择用户名,密码,从用户名=?'的用户启用)。因为当我们使用默认名称时,我们不需要显式指定查询来获取用户详细信息。查看Spring Security documentation了解更多详情。
的数据源 的
您需要按如下方式定义数据源bean,因为Spring安全性需要连接数据库以获取用户详细信息,因此您需要告诉它哪个驱动程序,数据库URL,用户名和密码。例如如下。
<bean id="dataSource"
class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName" value="org.hsqldb.jdbc.JDBCDriver" />
<property name="url" value="jdbc:hsqldb:hsql://localhost/elab" />
<property name="username" value="sa" />
<property name="password" value="" />
</bean>
Spring安全配置
现在我们需要向用户数据库告知spring security以获取登录详细信息。因此,我们使用'jdbc-user-service'而不是内存UserDetailsService的用户服务。现在我们的身份验证管理器将如下所示。
<authentication-manager>
<authentication-provider>
<jdbc-user-service data-source-ref="dataSource"/>
</authentication-provider>
</authentication-manager>
请注意,如果用户表结构与Spring在默认情况下的预期不同,则应将查询显式指定为jdbc-user-service元素的属性(users-by-username-query)。有关更多信息,请参阅文档。
现在所有set和Spring都会很乐意从数据库中获取用户详细信息。