我正在尝试使用Spring 3实现数据库驱动的用户登录设置。 我的日志显示用户使用登录表单中提供的用户名/ apssword进行了身份验证,但是用户似乎无法在JSP中访问,因为他们不再将用户硬编码到配置中。
感觉像UserDetails对象由于某种原因无法通过session / securitycontext获得。
在我的security-config.xml中: 旧硬编码风格......
<authentication-provider>
<user-service>
<user name="reports" password="reports" authorities="ROLE_REPORTS" />
<user name="admin" password="admin" authorities="ROLE_REPORTS, ROLE_ADMIN" />
<user name="super" password="super" authorities="ROLE_REPORTS, ROLE_ADMIN, ROLE_SUPER_ADMIN"/>
</user-service>
</authentication-provider>
新的身份验证提供商......
<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref="userService">
<!--
<password-encoder ref="pwdEncoder" >
<salt-source ref="saltSource"/>
</password-encoder>
-->
</authentication-provider>
</authentication-manager>
来自我的userservice的片段(实现Spring UserDetailsService接口):
@Transactional
public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException, DataAccessException {
DbUser dbUser = null;
List<GrantedAuthority> roles = new ArrayList<GrantedAuthority>();
Session sess = sessionFactory.getCurrentSession();
Query query = sess.createQuery("from DbUser where userName = '"+userName+"'");
Iterator<Object> it = query.iterate();
if(it.hasNext()) {
if(it.hasNext()) {
dbUser = (DbUser) it.next();
}
}
if (dbUser == null) {
throw new UsernameNotFoundException("user not found");
} else {
for (GrantedAuthority auth : dbUser.getRoles()) {
roles.add(new Role(auth.getAuthority()));
}
}
UserDetails springUser = null;
springUser = new org.springframework.security.core.userdetails.User(
dbUser.getUserName(),
dbUser.getPassword().toLowerCase(),
dbUser.getActive(),
true, true, true,
roles );
return springUser;
}
来自我的loginController:
@RequestMapping(value="/login/submit", method=RequestMethod.POST)
public String login(Principal principle, HttpServletRequest request, ModelMap model){
String username = request.getParameter("username");
String password = request.getParameter("password");
UserDetails springUser = null;
try {
springUser = userService.loadUserByUsername(username);
} catch(UsernameNotFoundException e) {
e.printStackTrace();
model.addAttribute("message","User not found");
return loginError(model);
}
if(springUser.getPassword().equals(password)){ // user/pwd combo is correct
/**
* @todo make sure user ends up as the session user here
*/
// SecurityContext context = SecurityContextHolder.getContext(); // //context.setAuthentication(springUser); // System.out.println(“** LoginController用户验证ok:”+ context.getAuthentication()。getName()); // System.out.println(“** LoginController principle:”+ context.getAuthentication()。getPrincipal()); } else { return loginError(model); }
Collection<GrantedAuthority> roles = springUser.getAuthorities();
for(GrantedAuthority auth : roles){
if(auth.getAuthority().equals(Role.ROLE_ADMIN)){
return "admin/home";
}
}
model.addAttribute("message", "Logged in");
return "reports/summaries";
}
您将在我的控制器中看到我认为我希望能够在会话中访问UserDetails对象的位置,但是任何日志记录只会返回字符串“anonymousUser”。
报告/摘要jsp显示正常,但任何数据除外。 JSP中包含在安全标记中的任何内容都不会显示。 例如,在显然以管理员用户身份登录后丢失此块:
<sec:authorize access="hasRole('ROLE_ADMIN')">
<li>
<a href="<c:url value="/admin/home"/>">Admin</a>
<ul>
<li><a href="<c:url value="/admin/form/checkpoints"/>">Checkpoints</a></li>
<li><a href="<c:url value="/admin/form/guards"/>">Guards</a></li>
<li><a href="<c:url value="/admin/form/incidents"/>">Incidents</a></li>
<li><a href="<c:url value="/admin/form/routes"/>">Routes</a></li>
</ul>
</li>
</sec:authorize>
正如你现在可能已经收集到的那样,我是Spring / Spring MVC的新手。如果有人能够提出Spring身份验证框架的一些基本方面,那我就错过了,那将会很棒!
跟进/编辑: 我已经尝试在评论中恢复@NimChimpsky建议的表单样式。我在身份验证提供程序的设置中有两个选项,第一个用于:
<authentication-provider>
<user-service>
<user name="reports" password="reports" authorities="ROLE_REPORTS" />
<user name="admin" password="admin" authorities="ROLE_REPORTS, ROLE_ADMIN" />
<user name="super" password="super" authorities="ROLE_REPORTS, ROLE_ADMIN, ROLE_SUPER_ADMIN"/>
</user-service>
</authentication-provider>
第二个,但不是:
<beans:bean id="userService" class="uk.co.romar.guardian.services.UserServiceImpl" />
..
当我尝试使用该UserServiceImpl类进行身份验证时,我在Hibernate sessionFactory上获得了NullPointerException,结果发现SessionFactory或我的其他服务都没有像我预期的那样被注入。
应该注入的sessionFactory bean在我的hibernate-context.xml中定义,它通过我的servlet.xml配置中的import语句包含。然而,身份验证提供程序在security-context.xml中声明,它不引用hibernate-context.xml。所以我将import语句复制到security-context中,希望对注入/实例化问题进行排序,但这也无济于事。
答案 0 :(得分:1)
我认为你使它变得比它需要的更复杂,spring会让你的所有腿都工作。您不必编写用于提交登录表单的控制器。像这样使用spring_secruity_login:
<form name="f" id="f" action="<c:url value='j_spring_security_check'/>" method="POST">
<label for="username">Username : </label>
<input type='text' id='j_username' name='j_username'/><br>
<label for="password">Password : </label>
<input type='password' id='j_password' name='j_password'><br>
登录后(通过提交上面的表单,然后你可以访问jsp中的principal,import:
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>
然后显示(或使用getAuthorities访问角色):
Username is <sec:authentication property="principal.username" />