Grails MongoDB脏检查因Spring安全性而失败

时间:2018-04-06 12:33:31

标签: grails gorm gorm-mongodb grails-spring-security

我正在使用Grails 3.3.2和mongoDB插件(v6.1.4)以及Spring Security Core插件(v3.2.0)。

我有以下UserPasswordEncoderListener以下的persistenceEvent方法:

 @Override
protected void onPersistenceEvent(AbstractPersistenceEvent event) {
    if (event.entityObject instanceof User) {
        User u = (event.entityObject as User)
        if (u.password && (event.eventType == EventType.PreInsert || (event.eventType == EventType.PreUpdate && u.hasChanged('password')))) {
            event.getEntityAccess().setProperty("password", encodePassword(u.password))
        }
    }
}

问题是hasChanged调用总是在每次保存具有无更新的用户对象时返回true,从而导致已编码的密码被重新编码,从而破坏身份验证。 / p>

一种解决方法是以旧方式执行此操作,只需从数据库中检索原始密码并在编码之前对其进行比较,但我想知道为什么hasChanged错误地返回true。

我通过在groovy控制台中运行以下内容来测试hasChanged在其他地方的行为是否正确:

def user = User.findByEmail("user@email.com")
println "Result: "+ user.hasChanged('password')

结果是Result: false。 为什么它不能在持久性监听器类中工作?

仅供参考:我在resources.groovy中定义了以下bean:

userPasswordEncoderListener(UserPasswordEncoderListener,ref('mongoDatastore'))

2 个答案:

答案 0 :(得分:1)

您是否曾尝试在听众中使用isDirty()而不是hasChanged()

例如:

package com.mycompany.myapp

import grails.plugin.springsecurity.SpringSecurityService
import org.grails.datastore.mapping.engine.event.AbstractPersistenceEvent
import org.grails.datastore.mapping.engine.event.PreInsertEvent
import org.grails.datastore.mapping.engine.event.PreUpdateEvent
import org.springframework.beans.factory.annotation.Autowired
import grails.events.annotation.gorm.Listener
import groovy.transform.CompileStatic

@CompileStatic
class UserPasswordEncoderListener {

    @Autowired
    SpringSecurityService springSecurityService

    @Listener(User)
    void onPreInsertEvent(PreInsertEvent event) {
        encodePasswordForEvent(event)
    }

    @Listener(User)
    void onPreUpdateEvent(PreUpdateEvent event) {
        encodePasswordForEvent(event)
    }

    private void encodePasswordForEvent(AbstractPersistenceEvent event) {
        if (event.entityObject instanceof User) {
            User u = event.entityObject as User
            if (u.password && ((event instanceof  PreInsertEvent) || (event instanceof PreUpdateEvent && u.isDirty('password')))) {
                event.getEntityAccess().setProperty('password', encodePassword(u.password))
            }
        }
    }

    private String encodePassword(String password) {
        springSecurityService?.passwordEncoder ? springSecurityService.encodePassword(password) : password
    }
}

更多信息,请访问:https://grails-plugins.github.io/grails-spring-security-core/3.2.x/index.html#tutorials

答案 1 :(得分:0)

现在的Temp解决方法:

@Override
protected void onPersistenceEvent(AbstractPersistenceEvent event) {
    if (event.entityObject instanceof User) {
        User u = (event.entityObject as User)
        if (u.password && (event.eventType == EventType.PreInsert || (event.eventType == EventType.PreUpdate && u.hasChanged('password')))) {
            if(event.eventType == EventType.PreUpdate){ //Temp workaround until hasChanged behaves correctly
                def originalUser = User.get(u?.id)
                if(originalUser.password != u.password){
                    event.getEntityAccess().setProperty("password", encodePassword(u.password))
                }
            }else {
                event.getEntityAccess().setProperty("password", encodePassword(u.password))
            }

        }
    }
}

在github repo(https://github.com/grails-plugins/grails-spring-security-core/issues/539)上留下了一个问题。将以反馈进行更新。

相关问题
最新问题