如何在 Spring Security 3 中设置用户角色?
Posted
技术标签:
【中文标题】如何在 Spring Security 3 中设置用户角色?【英文标题】:How to set user role in Spring Security 3? 【发布时间】:2014-09-14 18:41:46 【问题描述】:我正在研究 JAVA EE 技术来学习 JSF-Spring-Hibernate 与... 我正在尝试使用不同的用户角色来做 Web 应用程序。现在,我只有一个用户角色 ROLE_USER。我无法改变那个角色。我尝试了调试模式以了解我们如何设置此角色,但我不明白它发生在哪里。
所以,我的主要问题是我无法在我的应用程序中创建任何其他角色。如果我在我的流程中不使用<secured attributes="ROLE_USER" />
(我使用的是spring web-flow),每个人都可以访问该页面。如果我只做 ROLE_USER。但我想创建名为 ROLE_ADMIN 的新角色,只让 ROLE_ADMIN 到达该页面。
注意:我没有在这里添加所有文件,因为有人跟我说只添加相关的类和文件。如果您需要更多信息,请告诉我。
这是我正在关注的教程源代码。 https://code.google.com/p/jee-tutorial-youtube/source/browse/
安全配置.xml
<?xml version="1.0" encoding="UTF-8"?>
<security:http auto-config="true">
<security:form-login login-page="/app/main"
default-target-url="/app/account" />
<security:logout logout-url="/app/logout"
logout-success-url="/app/main" />
</security:http>
<security:authentication-manager>
<security:authentication-provider
user-service-ref="userServiceImp">
<security:password-encoder hash="md5" />
</security:authentication-provider>
</security:authentication-manager>
<bean id="daoAuthenticationProvider"
class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<property name="userDetailsService" ref="userServiceImp" />
<property name="hideUserNotFoundExceptions" value="false" />
</bean>
<bean id="authenticationManager"
class="org.springframework.security.authentication.ProviderManager">
<constructor-arg>
<ref bean="daoAuthenticationProvider" />
</constructor-arg>
</bean>
这是我对用户进行身份验证的 UserAuthenticationProviderServiceImp 类。
public boolean processUserAuthentication(Users user)
try
Authentication request = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
Authentication result = authenticationManager.authenticate(request);
SecurityContextHolder.getContext().setAuthentication(result);
return true;
catch(AuthenticationException e)
FacesContext.getCurrentInstance().addMessage(null,
new FacesMessage(FacesMessage.SEVERITY_ERROR, e.getMessage(), "Sorry!"));
return false;
我发现这个函数,我的服务类,在 processUserAuthentication 中被调用。然后我认为这是设置角色的函数。
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException
Users user = userDao.loadUserByUserName(userName);
if (user == null)
throw new UsernameNotFoundException(String.format(
getMessageBundle().getString("badCredentials"), userName));
Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
authorities.add(new SimpleGrantedAuthority("USER_ROLE"));
User userDetails = new User(user.getUserName(), user.getPassword(),
authorities);
return userDetails;
更新:
在我的项目中,我必须使用以下语法来创建角色:ROLE_X 其中 x 是任何字符串。例子;我们可以有 ROLE_MYNAME 但我们不能有 MYNAME 或 MYNAME_ROLE 作为角色。它必须以 ROLE_ 开头。我仍在尝试找出导致此问题的原因。如果我找到任何答案,我会更新。
编辑: 在这个页面中有一个详细的解释为什么我们必须使用ROLE_; http://bluefoot.info/howtos/spring-security-adding-a-custom-role-prefix/
【问题讨论】:
【参考方案1】:现在 USER_ROLE 已硬编码在您的应用程序中。理想情况下,用户到角色的映射将来自数据库中的 Authorities 表。然后可以使用数据库查询检索此映射信息,然后将其添加到权限集合中。
authorities.add(loadUserAuthorities(user.getUsername()));
protected List<GrantedAuthority> loadUserAuthorities(String username)
List<GrantedAuthority> authorities = null;
Object[] params = username ;
authorities = authoritiesByUsernameMapping.execute(params); // Query to get Authorities
return authorities;
Spring Security DB schema
【讨论】:
authorities.add(new SimpleGrantedAuthority("USER_ROLE"));
我认为这是我们将用户权限设置为硬代码的那一行,对吧?所以,如果我写 authorities.add(new SimpleGrantedAuthority("ROLE_X"));
然后更改像 <secured attributes="ROLE_X" />
这样的安全标签,我应该可以工作,对吧?但事实并非如此。我读了一些关于从数据库中获取角色的文章,但首先我想确定它是否有效。如果我误解了,请告诉我。
无论您刚刚发布的内容都应该有效,将权限硬编码为 ROLE_ADMIN。您能否为 org.springframework.security 启用调试并检查日志对您尝试访问的 URL 的说明。
我将 log4j.category.org.springframework.security=DEBUG 添加到我的 log4j 文件中,然后我得到了这个日志。(pastebin.com/e5HX7T4Y) 我从控制台复制了它,但它显示了它的一部分。而且***不允许我放在这里,所以我粘贴到pastebin。我可以在哪里访问完整的日志文件。这是我的 log4j 文件:pastebin.com/x8W2ye45
@user1921974 你使用的是用户名吗?从日志看来,用户正在获得角色 - TEST_ROLE。 SecurityContext 存储到 HttpSession:org.springframework.security.authentication.UsernamePasswordAuthenticationToken@9e7d34a3:主体:org.springframework.security.core.userdetails.User@1cb64:用户名:wer;密码保护];启用:真; AccountNonExpired:真;凭据非过期:真; AccountNonLocked:真;授予权限:TEST_ROLE;凭证:[受保护];已认证:真实;详细信息:空;授予权限:TEST_ROLE'
我不明白你说的用户 ID wer 是什么意思?但是,我发现了问题。我们需要使用这种语法来创建角色。语法是 ROLE_X,其中 X 是任何字符串。我写了,但我做错了(可怜的我,对不起)。我们可以有 ROLE_TEST 但我们不能使用 TEST_ROLE 或 TEST 作为角色。我不知道为什么我们必须使用 ROLE_ 但它就是这样工作的。我的搜索仍然会找到真正的原因;)以上是关于如何在 Spring Security 3 中设置用户角色?的主要内容,如果未能解决你的问题,请参考以下文章
在 Spring Security UsernamePasswordAuthenticationFilter JWT 身份验证中设置自定义登录 url