如何在 Spring Security 3 中设置用户角色？

Posted 2023-02-27

【中文标题】如何在 Spring Security 3 中设置用户角色？

【英文标题】：How to set user role in Spring Security 3?

【发布时间】：2014-09-14 18:41:46

【问题描述】：

我正在研究 JAVA EE 技术来学习 JSF-Spring-Hibernate 与... 我正在尝试使用不同的用户角色来做 Web 应用程序。现在，我只有一个用户角色 ROLE_USER。我无法改变那个角色。我尝试了调试模式以了解我们如何设置此角色，但我不明白它发生在哪里。

所以，我的主要问题是我无法在我的应用程序中创建任何其他角色。如果我在我的流程中不使用<secured attributes="ROLE_USER" />（我使用的是spring web-flow），每个人都可以访问该页面。如果我只做 ROLE_USER。但我想创建名为 ROLE_ADMIN 的新角色，只让 ROLE_ADMIN 到达该页面。

注意：我没有在这里添加所有文件，因为有人跟我说只添加相关的类和文件。如果您需要更多信息，请告诉我。

这是我正在关注的教程源代码。 https://code.google.com/p/jee-tutorial-youtube/source/browse/

安全配置.xml

<?xml version="1.0" encoding="UTF-8"?>

<security:http auto-config="true">
    <security:form-login login-page="/app/main"
        default-target-url="/app/account" />
    <security:logout logout-url="/app/logout"
        logout-success-url="/app/main" />
</security:http>

<security:authentication-manager>
    <security:authentication-provider
        user-service-ref="userServiceImp">
        <security:password-encoder hash="md5" />
    </security:authentication-provider>
</security:authentication-manager>

<bean id="daoAuthenticationProvider"
    class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <property name="userDetailsService" ref="userServiceImp" />
    <property name="hideUserNotFoundExceptions" value="false" />
</bean>

<bean id="authenticationManager"
    class="org.springframework.security.authentication.ProviderManager">
    <constructor-arg>
        <ref bean="daoAuthenticationProvider" />
    </constructor-arg>
</bean>

这是我对用户进行身份验证的 UserAuthenticationProviderServiceImp 类。

 public boolean processUserAuthentication(Users user) 

        try 
                Authentication request = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
                Authentication result = authenticationManager.authenticate(request);
                SecurityContextHolder.getContext().setAuthentication(result);

                return true;
         catch(AuthenticationException e) 
                FacesContext.getCurrentInstance().addMessage(null, 
                                new FacesMessage(FacesMessage.SEVERITY_ERROR, e.getMessage(), "Sorry!"));

                return false;
        

我发现这个函数，我的服务类，在 processUserAuthentication 中被调用。然后我认为这是设置角色的函数。

public UserDetails loadUserByUsername(String userName)
        throws UsernameNotFoundException 

    Users user = userDao.loadUserByUserName(userName);

    if (user == null) 
        throw new UsernameNotFoundException(String.format(
                getMessageBundle().getString("badCredentials"), userName));
    

    Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
    authorities.add(new SimpleGrantedAuthority("USER_ROLE"));
    User userDetails = new User(user.getUserName(), user.getPassword(),
            authorities);
    return userDetails;

更新：

在我的项目中，我必须使用以下语法来创建角色：ROLE_X 其中 x 是任何字符串。例子;我们可以有 ROLE_MYNAME 但我们不能有 MYNAME 或 MYNAME_ROLE 作为角色。它必须以 ROLE_ 开头。我仍在尝试找出导致此问题的原因。如果我找到任何答案，我会更新。

编辑： 在这个页面中有一个详细的解释为什么我们必须使用ROLE_； http://bluefoot.info/howtos/spring-security-adding-a-custom-role-prefix/

【参考方案1】：

现在 USER_ROLE 已硬编码在您的应用程序中。理想情况下，用户到角色的映射将来自数据库中的 Authorities 表。然后可以使用数据库查询检索此映射信息，然后将其添加到权限集合中。

authorities.add(loadUserAuthorities(user.getUsername()));

protected List<GrantedAuthority> loadUserAuthorities(String username) 
    List<GrantedAuthority> authorities = null;
    Object[] params =  username ;
    authorities = authoritiesByUsernameMapping.execute(params); // Query to get Authorities
    return authorities;      

Spring Security DB schema

【讨论】：

authorities.add(new SimpleGrantedAuthority("USER_ROLE")); 我认为这是我们将用户权限设置为硬代码的那一行，对吧？所以，如果我写 authorities.add(new SimpleGrantedAuthority("ROLE_X")); 然后更改像 <secured attributes="ROLE_X" /> 这样的安全标签，我应该可以工作，对吧？但事实并非如此。我读了一些关于从数据库中获取角色的文章，但首先我想确定它是否有效。如果我误解了，请告诉我。

无论您刚刚发布的内容都应该有效，将权限硬编码为 ROLE_ADMIN。您能否为 org.springframework.security 启用调试并检查日志对您尝试访问的 URL 的说明。

我将 log4j.category.org.springframework.security=DEBUG 添加到我的 log4j 文件中，然后我得到了这个日志。(pastebin.com/e5HX7T4Y) 我从控制台复制了它，但它显示了它的一部分。而且***不允许我放在这里，所以我粘贴到pastebin。我可以在哪里访问完整的日志文件。这是我的 log4j 文件：pastebin.com/x8W2ye45

@user1921974 你使用的是用户名吗？从日志看来，用户正在获得角色 - TEST_ROLE。 SecurityContext 存储到 HttpSession：org.springframework.security.authentication.UsernamePasswordAuthenticationToken@9e7d34a3：主体：org.springframework.security.core.userdetails.User@1cb64：用户名：wer；密码保护];启用：真； AccountNonExpired：真；凭据非过期：真； AccountNonLocked：真；授予权限：TEST_ROLE；凭证：[受保护]；已认证：真实；详细信息：空；授予权限：TEST_ROLE'

我不明白你说的用户 ID wer 是什么意思？但是，我发现了问题。我们需要使用这种语法来创建角色。语法是 ROLE_X，其中 X 是任何字符串。我写了，但我做错了（可怜的我，对不起）。我们可以有 ROLE_TEST 但我们不能使用 TEST_ROLE 或 TEST 作为角色。我不知道为什么我们必须使用 ROLE_ 但它就是这样工作的。我的搜索仍然会找到真正的原因;)