Spring 3将UserDetails添加到会话中

时间:2012-02-21 12:27:11

标签: security spring login

我正在尝试使用Spring 3实现数据库驱动的用户登录设置。 我的日志显示用户使用登录表单中提供的用户名/ apssword进行了身份验证,但是用户似乎无法在JSP中访问,因为他们不再将用户硬编码到配置中。

感觉像UserDetails对象由于某种原因无法通过session / securitycontext获得。

在我的security-config.xml中: 旧硬编码风格......

    <authentication-provider>
    <user-service>
        <user name="reports" password="reports" authorities="ROLE_REPORTS" />
        <user name="admin" password="admin" authorities="ROLE_REPORTS, ROLE_ADMIN" />
        <user name="super" password="super" authorities="ROLE_REPORTS, ROLE_ADMIN, ROLE_SUPER_ADMIN"/>
    </user-service>
</authentication-provider>

新的身份验证提供商......

<authentication-manager alias="authenticationManager">
    <authentication-provider user-service-ref="userService">
        <!-- 
        <password-encoder ref="pwdEncoder" >
            <salt-source ref="saltSource"/>
        </password-encoder>
         -->
    </authentication-provider>
</authentication-manager>

来自我的userservice的片段(实现Spring UserDetailsS​​ervice接口):

    @Transactional
public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException, DataAccessException {
    DbUser dbUser = null;
    List<GrantedAuthority> roles = new ArrayList<GrantedAuthority>();

    Session sess = sessionFactory.getCurrentSession(); 
    Query query = sess.createQuery("from DbUser where userName = '"+userName+"'");

    Iterator<Object> it = query.iterate();
    if(it.hasNext()) {
        if(it.hasNext()) {
            dbUser = (DbUser) it.next();
        }
    }

    if (dbUser == null) {
        throw new UsernameNotFoundException("user not found");
    } else {
        for (GrantedAuthority auth : dbUser.getRoles()) {
            roles.add(new Role(auth.getAuthority()));
        }
    }

    UserDetails springUser = null;
    springUser =  new org.springframework.security.core.userdetails.User(
        dbUser.getUserName(), 
        dbUser.getPassword().toLowerCase(),
        dbUser.getActive(), 
        true, true, true,
        roles );

    return springUser;
}

来自我的loginController:

    @RequestMapping(value="/login/submit", method=RequestMethod.POST)
public String login(Principal principle, HttpServletRequest request, ModelMap model){
    String username = request.getParameter("username");
    String password = request.getParameter("password");

    UserDetails springUser = null;
    try {
        springUser = userService.loadUserByUsername(username);
    } catch(UsernameNotFoundException e) {
        e.printStackTrace();
        model.addAttribute("message","User not found");
        return loginError(model);
    }
    if(springUser.getPassword().equals(password)){          // user/pwd combo is correct
        /**
         * @todo make sure user ends up as the session user here
         */

// SecurityContext context = SecurityContextHolder.getContext(); // //context.setAuthentication(springUser); // System.out.println(“** LoginController用户验证ok:”+ context.getAuthentication()。getName()); // System.out.println(“** LoginController principle:”+ context.getAuthentication()。getPrincipal());         } else {             return loginError(model);         }

    Collection<GrantedAuthority> roles = springUser.getAuthorities();
    for(GrantedAuthority auth : roles){
        if(auth.getAuthority().equals(Role.ROLE_ADMIN)){
            return "admin/home";
        }
    }

    model.addAttribute("message", "Logged in");
    return "reports/summaries";
}

您将在我的控制器中看到我认为我希望能够在会话中访问UserDetails对象的位置,但是任何日志记录只会返回字符串“anonymousUser”。

报告/摘要jsp显示正常,但任何数据除外。 JSP中包含在安全标记中的任何内容都不会显示。 例如,在显然以管理员用户身份登录后丢失此块:

        <sec:authorize access="hasRole('ROLE_ADMIN')">
        <li>
            <a href="<c:url value="/admin/home"/>">Admin</a>
            <ul>
                <li><a href="<c:url value="/admin/form/checkpoints"/>">Checkpoints</a></li>
                <li><a href="<c:url value="/admin/form/guards"/>">Guards</a></li>
                <li><a href="<c:url value="/admin/form/incidents"/>">Incidents</a></li>
                <li><a href="<c:url value="/admin/form/routes"/>">Routes</a></li>
            </ul>   
        </li>
    </sec:authorize>

正如你现在可能已经收集到的那样,我是Spring / Spring MVC的新手。如果有人能够提出Spring身份验证框架的一些基本方面,那我就错过了,那将会很棒!

跟进/编辑: 我已经尝试在评论中恢复@NimChimpsky建议的表单样式。我在身份验证提供程序的设置中有两个选项,第一个用于:

<authentication-provider>
        <user-service>
            <user name="reports" password="reports" authorities="ROLE_REPORTS" />
            <user name="admin" password="admin" authorities="ROLE_REPORTS, ROLE_ADMIN" />
            <user name="super" password="super" authorities="ROLE_REPORTS, ROLE_ADMIN, ROLE_SUPER_ADMIN"/>
        </user-service>
    </authentication-provider>

第二个,但不是:

<beans:bean id="userService" class="uk.co.romar.guardian.services.UserServiceImpl" />

..     

当我尝试使用该UserServiceImpl类进行身份验证时,我在Hibernate sessionFactory上获得了NullPointerException,结果发现SessionFactory或我的其他服务都没有像我预期的那样被注入。

应该注入的sessionFactory bean在我的hibernate-context.xml中定义,它通过我的servlet.xml配置中的import语句包含。然而,身份验证提供程序在security-context.xml中声明,它不引用hibernate-context.xml。所以我将import语句复制到security-context中,希望对注入/实例化问题进行排序,但这也无济于事。

1 个答案:

答案 0 :(得分:1)

我认为你使它变得比它需要的更复杂,spring会让你的所有腿都工作。您不必编写用于提交登录表单的控制器。像这样使用spring_secruity_login:

<form name="f" id="f" action="<c:url value='j_spring_security_check'/>" method="POST">
  <label for="username">Username :&nbsp;</label>
  <input type='text' id='j_username' name='j_username'/><br>
  <label for="password">Password :&nbsp;</label>
  <input type='password' id='j_password' name='j_password'><br>

登录后(通过提交上面的表单,然后你可以访问jsp中的principal,import:

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>

然后显示(或使用getAuthorities访问角色):

Username is  <sec:authentication property="principal.username" />