1

我用,

  • Spring Framework 4.0.0 发布(GA)
  • Spring Security 3.2.0 发布(GA)
  • Struts 2.3.16

我在其中使用,

org.springframework.security.authentication.dao.DaoAuthenticationProvider

用于身份验证。我的spring-security.xml文件如下所示。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <http pattern="/Login.jsp*" security="none"></http>

    <http auto-config='true' use-expressions="true" disable-url-rewriting="true" authentication-manager-ref="authenticationManager">
        <session-management session-fixation-protection="newSession">
            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
        </session-management>

        <csrf/>

        <headers>
            <xss-protection />
            <frame-options />
            <!--<cache-control />-->
            <!--<hsts />-->
            <content-type-options /> <!--content sniffing-->
        </headers>

        <intercept-url pattern="/admin_side/**" access="hasRole('ROLE_ADMIN')" requires-channel="any"/>

        <form-login login-page="/admin_login/Login.action" authentication-success-handler-ref="loginSuccessHandler" authentication-failure-handler-ref="authenticationFailureHandler"/>
        <logout logout-success-url="/admin_login/Login.action" invalidate-session="true" delete-cookies="JSESSIONID"/>
    </http>

    <beans:bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <beans:bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
        <beans:property name="userDetailsService" ref="userDetailsService"/>
        <beans:property name="passwordEncoder" ref="encoder" />
    </beans:bean>

    <beans:bean id="authenticationManager" class="org.springframework.security.authentication.ProviderManager">
        <beans:property name="providers">
            <beans:list>
                <beans:ref bean="daoAuthenticationProvider" />
            </beans:list>
        </beans:property>
    </beans:bean>

    <authentication-manager>
        <authentication-provider user-service-ref="userDetailsService"/>            
    </authentication-manager>

    <beans:bean id="loginSuccessHandler" class="loginsuccesshandler.LoginSuccessHandler"/>
    <beans:bean id="authenticationFailureHandler" class="loginsuccesshandler.AuthenticationFailureHandler" />

    <global-method-security secured-annotations="enabled" proxy-target-class="false" authentication-manager-ref="authenticationManager">
        <protect-pointcut expression="execution(* admin.dao.*.*(..))" access="ROLE_ADMIN"/>
    </global-method-security>
</beans:beans>

的实现UserDetailsService如下。

@Service(value="userDetailsService")
public final class UserDetailsImpl implements UserDetailsService {

    @Autowired
    private final transient UserService userService = null;
    @Autowired
    private final transient AssemblerService assemblerService = null;

    @Override
    @Transactional(readOnly = true, propagation = Propagation.REQUIRED)
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        UserTable userTable = userService.findUserByName(userName);

        if (userTable == null) {
            throw new UsernameNotFoundException("User name not found.");
        } else if (!userTable.getEnabled()) {
            throw new DisabledException("The user is disabled.");
        } else if (!userTable.getVarified()) {
            throw new LockedException("The user is locked.");
        }

        //Password expiration and other things may also be implemented as and when required.
        return assemblerService.buildUserFromUserEntity(userTable);
    }
}

以下只是一个帮助服务,用于转换将由 SpringUser对象使用的用户实体。

@Service(value="assembler")
@Transactional(readOnly = true, propagation=Propagation.REQUIRED)
public final class AssemblerDAO implements AssemblerService {

    @Override
    public User buildUserFromUserEntity(UserTable userTable) {
        String username = userTable.getEmailId();
        String password = userTable.getPassword();
        boolean active = userTable.getEnabled();
        boolean enabled = active;
        boolean accountNonExpired = active;
        boolean credentialsNonExpired = active;
        boolean accountNonLocked = userTable.getVarified();
        Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();

        for (UserRoles role : userTable.getUserRolesSet()) {
            authorities.add(new SimpleGrantedAuthority(role.getAuthority()));
        }

        return new User(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
    }
}

没有必要参考这些类。

我的问题是,在使用时,

org.springframework.security.provisioning.JdbcUserDetailsManager

UserDetailsManager可以注入控制器及其

public void changePassword(String oldPassword, String newPassword) throws AuthenticationException {
    //...
}

方法可用于更改密码。我从未尝试过,但它可能大致如下实现。

<bean id="jdbcUserService" class="org.springframework.security.provisioning.JdbcUserDetailsManager">
    <property name="dataSource" ref="datasource" />
    <property name="authenticationManager" ref="authenticationManager" />
</bean>

在控制器中,它应该按如下方式注入。

@Autowired
@Qualifier("jdbcUserService")
public UserDetailsManager userDetailsManager;

Spring security 在我使用的方法中是否提供了任何工具,或者只是我自己在 DAO 中的一个简单方法来更改当前登录用户的密码就足够了?请建议,如果我在任何地方做错了什么!

这个内容可能太大而无法回答这个问题,但我问这个是因为它是相当实验性的。

4

2 回答 2

1

更改密码的方法是一个很好的解决方案,因为在 Spring Security 中没有为此提供特殊功能。

在 Spring Security 中没有为此存在特殊功能的原因是,如果使用会话,则不需要它。

由 JSESSIONID cookie 标识的用户当前会话仍驻留在用户的浏览器中,并且在密码更改后仍将是有效会话。

当用户上次登录时检查旧密码时,会生成一个 cookie,并将其保存在内存中的有效 cookie 映射中。

临时身份验证令牌(cookie)仍然有效并且具有最大值。生命周期,并且更改数据库上的密码不会影响当前会话的有效性。

于 2014-01-04T11:01:02.960 回答
1

我同意@jhadesdev 的答案;

请注意,通过调用 Spring's JdbcUserDetailsManager.changePassword(),Spring 更新上下文持有者,并使用新密码更新数据库。

Spring 不处理 cookie,因为它不会强制您的应用程序成为 Web 应用程序。所以我想如果是这种情况,您的应用程序中的更高级别应该更新会话。

PS-出于好奇-您是如何实现注册流程和忘记密码流程等的?Spring 也不处理这个问题。我写了一个项目来处理这些流程......

于 2014-01-04T12:24:17.033 回答