我正在尝试处理在通过 openId 提供程序成功进行身份验证后发现我的数据库中没有与用户 openId 标识符关联的帐户的情况。
你能告诉我应该如何处理这种情况吗?现在,我正在显示注册表单并要求用户创建一个帐户。但是,我对用户身份验证状态有疑问,他现在被视为已通过 Spring SecurityContext 类进行身份验证。
在重定向到“注册新用户页面”之前,如何在控制器操作中取消用户身份验证?这种方法是一种好方法还是我应该以其他方式来做?
问问题
599 次
2 回答
2
好的,因此 Samuel 的帖子中提到的将身份验证与授权分开确实很有帮助。但是仍然有很多陷阱,我发现取消身份验证仍然是必须的,因为在春季没有简单的方法可以向用户添加新角色。所以最简单的方法是强制用户再次登录,让spring在登录时处理角色分配。
为了在 Spring Security 中取消对用户的身份验证,您必须调用:
SecurityContextHolder.clearContext();
作为替代方案,您可以在 UserDetailsService 实现中抛出异常(见下文)。它的缺点是您会取消用户身份验证并丢失用户上下文数据,因此在创建新本地帐户的过程中无法将新用户帐户与 openid 帐户匹配。并且您必须在用户登录后使用传统的用户名和密码匹配这些帐户。我的解决方案是在创建新帐户后立即取消用户身份验证。
为了授予用户角色(特权),您必须覆盖 UserDetailsService,以防有人发现这很有用,这是我的实现:
public final class MyUserDetailsService implements UserDetailsService {
private final UsersDao usersDao;
@Autowired
public UserDetailsServiceImpl(final UsersDao usersDao) {
this.usersDao = usersDao;
}
@Override
public UserDetails loadUserByUsername(final String username) {
UserEntity user = usersDao.getUserByOpenIdIdentifier(username);
if (user == null) {
// there is no such user in our db, we could here throw
// an Exception instead then the user would also be deuthenticated
return new User(username, "", new ArrayList<GrantedAuthority>());
}
//here we are granting to users roles based on values from db
final Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
authorities.add(new SimpleGrantedAuthority(user.getUserType().toString()));
final UserDetails result = new User(username, "", authorities);
return result;
}
}
于 2012-06-06T18:11:38.020 回答
1
我认为您可能混合了两个概念:身份验证和授权。身份验证是知道用户是谁,授权是使用访问某个功能的资源的权利。
在 Spring Security 中,这两个概念是由authentication-manager和access-decision-manager实现的。
用户在您的数据库中不存在的事实并不是拒绝他的理由是身份:没有取消身份验证!但是经过身份验证可以成为访问决策管理中的一个标准。示例:AuthenticatedVoter。
您不应该接触身份验证,而是自定义 access-decision-manager 以应用以下规则:
- 存在于您的数据库中的用户可以访问除帐户创建功能之外的所有内容
- 数据库中不存在的用户只能访问帐户创建功能。
这都是关于访问管理,而不是身份验证。
PS:spring security的文档并不详尽,但是源码可读性很强。我的建议是检查一下并查看您需要自定义的元素的实现。
于 2012-05-23T21:08:29.490 回答