如何在Spring Security 3中实现自定义身份验证?

时间:2013-08-13 22:51:09

标签: spring-mvc spring-security

我知道这已经回答了很多次,但我很困惑。我的应用程序中已经有一个身份验证机制,我只想使用Spring MVC的授权部分。我正在使用Spring MVC 3和Spring Security 3。

当我在互联网上搜索时,我找到了两个解决方案,第一个是实现AuthenticationProvider接口。 Example1。第二个是实现UserDetails和UserDetailsS​​ervice,Example2所以我在这里迷失了。

---- ----更新

问题的第二部分是here。以及解决方法的解决方案。

1 个答案:

答案 0 :(得分:37)

在大多数情况下,只使用用户名和密码进行身份验证和角色授权,实现自己的UserDetailsS​​ervice就足够了。

用户名密码验证的流程通常如下:

  • Spring安全过滤器(基本身份验证/表单/ ..)获取用户名和密码,将其转换为UsernamePasswordAuthentication对象并将其传递给AuthenticationManager
  • 身份验证管理器查找可以处理UsernamePasswordtokens的候选提供程序,在这种情况下,它是DaoAuthenticationProvider并传递令牌进行身份验证
  • 身份验证提供程序调用方法loadUserByUsername接口,如果用户不存在则抛出UsernameNotFound异常,或者返回包含用户名,密码和权限的UserDetails对象。
  • 然后,身份验证提供程序会比较提供的UsernamePasswordToken和UserDetails对象的密码。 (它也可以通过PasswordEncoders处理密码哈希)如果不匹配则验证失败。如果匹配则注册用户详细信息对象并将其传递给执行授权部分的AccessDecisionManager。

因此,如果DaoAuthenticationProvider中的验证符合您的需求。然后,您只需要实现自己的UserDetailsS​​ervice并调整DaoAuthenticationProvider的验证。

使用spring 3.1的UserDetailsS​​ervice的示例如下:

Spring XML:

<security:authentication-manager>
     <security:authentication-provider user-service-ref="myUserDetailsService" />
</security:authentication-manager>

<bean name="myUserDetailsService" class="x.y.MyUserDetailsService" />

UserDetailsS​​ervice实施:

public MyUserDetailsService implements UserDetailsService {

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    //Retrieve the user from wherever you store it, e.g. a database 
    MyUserClass user = ...; 
    if (user == null) {
        throw new UsernameNotFoundException("Invalid username/password.");
    }
    Collection<? extends GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("Role1","role2","role3");
    return new User(user.getUsername(), user.getPassword(), authorities);
}

}
相关问题
最新问题