在Spring Security中添加新用户

时间:2010-02-08 21:06:28

标签: java spring java-ee spring-security

我在Spring / Java EE Web应用程序中设置了基本的Spring安全性。我可以限制对某些页面的访问并强制登录(使用角色等)。需要有一个表单,新用户可以注册并指定登录名和密码。

我想知道,为了创建新用户,我只是查询和更新适当的弹簧安全表(例如使用hibernate),就像我对任何查询一样,或者是否有内置功能来创建新用户?如果我只是使用标准DAO来更新用户,我该如何处理密码散列?

谢谢!

4 个答案:

答案 0 :(得分:12)

您必须在此页面上结合所有答案。

  • Teja是正确的,没有便利的方式来动态添加用户。
  • Axtavt也是对的。您需要某种数据访问/服务层来更新您的用户表。换句话说,您需要像具有某种超级用户访问权限的任何其他页面一样创建视图。
  • Michal和ax提供了很好的建议,您可能需要在保存之前对密码进行编码。摘要应与您在检索凭据时使用的任何内容相匹配。

这是使用JDBC的示例配置:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                         http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
                        http://www.springframework.org/schema/security
                         http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">

    <global-method-security secured-annotations="enabled"/>

    <http auto-config="true" access-denied-page="/accessDenied.jsp">
        <!-- login page has anonymous access -->
        <intercept-url pattern="/login.jsp*" filters="none"/>
        <!-- all pages are authenticated -->
        <intercept-url pattern="/**.action" access="ROLE_USER, ROLE_ADMIN"  />  
        <!-- all admin contextual pages are authenticated by admin role -->
        <intercept-url pattern="/admin/**" access="ROLE_ADMIN"  />
        <form-login authentication-failure-url="/login.jsp?login_error=1" default-target-url="/index.action" login-page="/login.jsp"/>
        <logout logout-success-url="/index.action"/>
    </http>     

    <authentication-provider>
        <password-encoder hash="md5" /> 
        <jdbc-user-service data-source-ref="dataSource" 
            authorities-by-username-query="SELECT username, role AS authority FROM sweet_users WHERE username = ?"
            users-by-username-query="SELECT username, password, 1 AS enabled FROM sweet_users WHERE username = ?" />
    </authentication-provider>
</beans:beans>

这是使用自定义查询来获取用户。 Spring Security期望用户表分别包含用户名,密码和权限列名,因此您需要执行返回这些操作的操作。您需要提供数据源。

如果您创建了一个用于在admin / context下添加用户的页面,则会根据此配置对其进行身份验证。

为您的UserDao和/或UserService和/或AuthenticationService添加一个bean并将其传递给您的Users控制器......

答案 1 :(得分:4)

Spring Security已JdbcUserDetailsManager。它是默认的基于JDBC的UserDetailsService的子类,还有用于创建用户的其他方法等。您可以将它用作DAO而不是您自己的。

但是,应明确处理密码哈希。例如,如果您使用SHA哈希,则可以使用ShaPasswordEncoder.encodePassword()

答案 2 :(得分:1)

在Spring安全性中创建用户没有这样的内置功能。它仅用于根据尝试登录和访问资源的用户的规则来保护资源。

答案 3 :(得分:1)

使用哈希算法您可以将<password-encoder>添加到<authentication-provider>