如何在 Spring Security 3 中设置用户角色?

Posted

技术标签:

【中文标题】如何在 Spring Security 3 中设置用户角色?【英文标题】:How to set user role in Spring Security 3? 【发布时间】:2014-09-14 18:41:46 【问题描述】:

我正在研究 JAVA EE 技术来学习 JSF-Spring-Hibernate 与... 我正在尝试使用不同的用户角色来做 Web 应用程序。现在,我只有一个用户角色 ROLE_USER。我无法改变那个角色。我尝试了调试模式以了解我们如何设置此角色,但我不明白它发生在哪里。

所以,我的主要问题是我无法在我的应用程序中创建任何其他角色。如果我在我的流程中不使用<secured attributes="ROLE_USER" />(我使用的是spring web-flow),每个人都可以访问该页面。如果我只做 ROLE_USER。但我想创建名为 ROLE_ADMIN 的新角色,只让 ROLE_ADMIN 到达该页面。

注意:我没有在这里添加所有文件,因为有人跟我说只添加相关的类和文件。如果您需要更多信息,请告诉我。

这是我正在关注的教程源代码。 https://code.google.com/p/jee-tutorial-youtube/source/browse/

安全配置.xml

<?xml version="1.0" encoding="UTF-8"?>

<security:http auto-config="true">
    <security:form-login login-page="/app/main"
        default-target-url="/app/account" />
    <security:logout logout-url="/app/logout"
        logout-success-url="/app/main" />
</security:http>

<security:authentication-manager>
    <security:authentication-provider
        user-service-ref="userServiceImp">
        <security:password-encoder hash="md5" />
    </security:authentication-provider>
</security:authentication-manager>

<bean id="daoAuthenticationProvider"
    class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <property name="userDetailsService" ref="userServiceImp" />
    <property name="hideUserNotFoundExceptions" value="false" />
</bean>

<bean id="authenticationManager"
    class="org.springframework.security.authentication.ProviderManager">
    <constructor-arg>
        <ref bean="daoAuthenticationProvider" />
    </constructor-arg>
</bean>

这是我对用户进行身份验证的 UserAuthenticationProviderServiceImp 类。

 public boolean processUserAuthentication(Users user) 

        try 
                Authentication request = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
                Authentication result = authenticationManager.authenticate(request);
                SecurityContextHolder.getContext().setAuthentication(result);

                return true;
         catch(AuthenticationException e) 
                FacesContext.getCurrentInstance().addMessage(null, 
                                new FacesMessage(FacesMessage.SEVERITY_ERROR, e.getMessage(), "Sorry!"));

                return false;
        

我发现这个函数,我的服务类,在 processUserAuthentication 中被调用。然后我认为这是设置角色的函数。

public UserDetails loadUserByUsername(String userName)
        throws UsernameNotFoundException 

    Users user = userDao.loadUserByUserName(userName);

    if (user == null) 
        throw new UsernameNotFoundException(String.format(
                getMessageBundle().getString("badCredentials"), userName));
    

    Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
    authorities.add(new SimpleGrantedAuthority("USER_ROLE"));
    User userDetails = new User(user.getUserName(), user.getPassword(),
            authorities);
    return userDetails;

更新:

在我的项目中,我必须使用以下语法来创建角色:ROLE_X 其中 x 是任何字符串。例子;我们可以有 ROLE_MYNAME 但我们不能有 MYNAME 或 MYNAME_ROLE 作为角色。它必须以 ROLE_ 开头。我仍在尝试找出导致此问题的原因。如果我找到任何答案,我会更新。

编辑: 在这个页面中有一个详细的解释为什么我们必须使用ROLE_; http://bluefoot.info/howtos/spring-security-adding-a-custom-role-prefix/

【问题讨论】:

【参考方案1】:

现在 USER_ROLE 已硬编码在您的应用程序中。理想情况下,用户到角色的映射将来自数据库中的 Authorities 表。然后可以使用数据库查询检索此映射信息,然后将其添加到权限集合中。

authorities.add(loadUserAuthorities(user.getUsername()));

protected List<GrantedAuthority> loadUserAuthorities(String username) 
    List<GrantedAuthority> authorities = null;
    Object[] params =  username ;
    authorities = authoritiesByUsernameMapping.execute(params); // Query to get Authorities
    return authorities;      

Spring Security DB schema

【讨论】:

authorities.add(new SimpleGrantedAuthority("USER_ROLE")); 我认为这是我们将用户权限设置为硬代码的那一行,对吧?所以,如果我写 authorities.add(new SimpleGrantedAuthority("ROLE_X")); 然后更改像 &lt;secured attributes="ROLE_X" /&gt; 这样的安全标签,我应该可以工作,对吧?但事实并非如此。我读了一些关于从数据库中获取角色的文章,但首先我想确定它是否有效。如果我误解了,请告诉我。 无论您刚刚发布的内容都应该有效,将权限硬编码为 ROLE_ADMIN。您能否为 org.springframework.security 启用调试并检查日志对您尝试访问的 URL 的说明。 我将 log4j.category.org.springframework.security=DEBUG 添加到我的 log4j 文件中,然后我得到了这个日志。(pastebin.com/e5HX7T4Y) 我从控制台复制了它,但它显示了它的一部分。而且***不允许我放在这里,所以我粘贴到pastebin。我可以在哪里访问完整的日志文件。这是我的 log4j 文件:pastebin.com/x8W2ye45 @user1921974 你使用的是用户名吗?从日志看来,用户正在获得角色 - TEST_ROLE。 SecurityContext 存储到 HttpSession:org.springframework.security.authentication.UsernamePasswordAuthenticationToken@9e7d34a3:主体:org.springframework.security.core.userdetails.User@1cb64:用户名:wer;密码保护];启用:真; AccountNonExpired:真;凭据非过期:真; AccountNonLocked:真;授予权限:TEST_ROLE;凭证:[受保护];已认证:真实;详细信息:空;授予权限:TEST_ROLE' 我不明白你说的用户 ID wer 是什么意思?但是,我发现了问题。我们需要使用这种语法来创建角色。语法是 ROLE_X,其中 X 是任何字符串。我写了,但我做错了(可怜的我,对不起)。我们可以有 ROLE_TEST 但我们不能使用 TEST_ROLE 或 TEST 作为角色。我不知道为什么我们必须使用 ROLE_ 但它就是这样工作的。我的搜索仍然会找到真正的原因;)

以上是关于如何在 Spring Security 3 中设置用户角色?的主要内容,如果未能解决你的问题,请参考以下文章

如何在spring boot中设置禁用浏览器缓存?

在 Spring Security UsernamePasswordAuthenticationFilter JWT 身份验证中设置自定义登录 url

Spring security + session:接收“Set-Cookie”标头但未在浏览器中设置

带有 jdbc 的 Spring Security 3.0

如何通过注释在spring mvc 3中设置标头无缓存

如何在此 Python 代码中设置时间? [复制]