Добавление новых пользователей в безопасности Spring
Мне настраивали основную пружинную безопасность в моем Spring / веб-приложение EE Java. Я могу ограничить доступ к определенным страницам и вызвать вход в систему (с ролями и т.д.). Должна быть форма, где новые пользователи могут зарегистрировать и определить имя для входа в систему и пароль.
Я задаюсь вопросом, запрашиваю ли, для создания новых пользователей я просто и обновляю соответствующие пружинные таблицы защиты (например, использование в спящем режиме), как я был бы для запроса или там создаюсь в функциональности для создания новых пользователей? Если я должен просто применить стандартный ДАО для обновления пользователей, как я должен обработать хеширование паролей?
Спасибо!
4 ответа
Вы должны объединить все ответы на этой странице.
- Тея верна, нет упрощенного способа добавить пользователя на лету.
- Акставт также верен. Вам нужен какой-то уровень доступа к данным/сервиса для обновления таблицы пользователей. Другими словами, вам нужно создать вид, как и любую другую страницу с каким-либо доступом суперпользователя.
- Michal и ax дают хороший совет, что вам, вероятно, нужно кодировать пароль перед его сохранением. Дайджест должен соответствовать тому, что вы используете при получении учетных данных.
Вот пример настройки с помощью JDBC:
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">
<global-method-security secured-annotations="enabled"/>
<http auto-config="true" access-denied-page="/accessDenied.jsp">
<!-- login page has anonymous access -->
<intercept-url pattern="/login.jsp*" filters="none"/>
<!-- all pages are authenticated -->
<intercept-url pattern="/**.action" access="ROLE_USER, ROLE_ADMIN" />
<!-- all admin contextual pages are authenticated by admin role -->
<intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
<form-login authentication-failure-url="/login.jsp?login_error=1" default-target-url="/index.action" login-page="/login.jsp"/>
<logout logout-success-url="/index.action"/>
</http>
<authentication-provider>
<password-encoder hash="md5" />
<jdbc-user-service data-source-ref="dataSource"
authorities-by-username-query="SELECT username, role AS authority FROM sweet_users WHERE username = ?"
users-by-username-query="SELECT username, password, 1 AS enabled FROM sweet_users WHERE username = ?" />
</authentication-provider>
</beans:beans>
Это использование пользовательского запроса для получения пользователей. Spring Security ожидает таблицу пользователей с именем пользователя, паролем и именами столбцов авторизации соответственно, так что делайте все, что нужно, чтобы вернуть их. Вы должны предоставить источник данных.
Если вы создадите страницу для добавления пользователей в контексте администрирования, она будет аутентифицирована в соответствии с этой конфигурацией.
Добавьте боб для вашего UserDao и/или UserService и/или AuthenticationService и передайте его вашему контроллеру Users....
Spring Security имеет JdbcUserDetailsManager . Это подкласс JDBC по умолчанию UserDetailsService с дополнительными методами для создания пользователей и так далее. Вы можете использовать его как DAO вместо своего собственного.
Однако хеширование паролей должно выполняться явно. Например, если вы используете хэш SHA, вы можете использовать ShaPasswordEncoder.encodePassword () .
Нет такого встроенного в функционал для создания пользователей в весенней безопасности. Он реализован только для защиты ресурсов на основе правил для пользователей, которые пытаются войти в систему и получить доступ к ресурсам.
Для использования хэш-алгоритмов можно добавить < пароль-кодировщик > к < аутентификация-поставщик > .