Добавление новых пользователей в Spring Безопасность

У меня есть базовая spring защита, установленная в моем веб-приложении spring/Java EE. Я могу ограничить доступ к определенным страницам и принудительно войти в систему (с ролями и т.д.). Должна быть форма, в которой новые пользователи могут зарегистрироваться и указать имя и пароль для входа.

Мне интересно, если для создания новых пользователей я просто запрашиваю и обновляю соответствующие таблицы безопасности spring (например, с помощью hibernate), как и для любого запроса, или есть встроенные функции для создания новых пользователей? Если я просто использую стандартный DAO для обновления пользователей, как мне обрабатывать хеширование паролей?

Спасибо!

ОТВЕТЫ

Ответ 1

Вам нужно объединить все ответы на этой странице.

  • Teja верна, нет возможности упростить добавление пользователя на лету.
  • Axtavt также верен. Для обновления таблицы пользователей вам нужен какой-то уровень доступа к данным/сервисов. Другими словами, вам нужно создать представление, как любую другую страницу с каким-то супер-доступом пользователей.
  • Michal и ax дают хороший совет, что вам, вероятно, нужно будет закодировать свой пароль перед его сохранением. Сборник должен соответствовать тому, что вы используете, когда вы извлекаете учетные данные.

Здесь пример конфигурации с использованием JDBC:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                         http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
                        http://www.springframework.org/schema/security
                         http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">

    <global-method-security secured-annotations="enabled"/>

    <http auto-config="true" access-denied-page="/accessDenied.jsp">
        <!-- login page has anonymous access -->
        <intercept-url pattern="/login.jsp*" filters="none"/>
        <!-- all pages are authenticated -->
        <intercept-url pattern="/**.action" access="ROLE_USER, ROLE_ADMIN"  />  
        <!-- all admin contextual pages are authenticated by admin role -->
        <intercept-url pattern="/admin/**" access="ROLE_ADMIN"  />
        <form-login authentication-failure-url="/login.jsp?login_error=1" default-target-url="/index.action" login-page="/login.jsp"/>
        <logout logout-success-url="/index.action"/>
    </http>     

    <authentication-provider>
        <password-encoder hash="md5" /> 
        <jdbc-user-service data-source-ref="dataSource" 
            authorities-by-username-query="SELECT username, role AS authority FROM sweet_users WHERE username = ?"
            users-by-username-query="SELECT username, password, 1 AS enabled FROM sweet_users WHERE username = ?" />
    </authentication-provider>
</beans:beans>

Это использование пользовательского запроса для получения пользователей. Spring Безопасность ожидает таблицу пользователей с именами имен пользователей, паролей и полномочий соответственно, поэтому сделайте то, что вам нужно сделать, чтобы вернуть их. Вам необходимо предоставить источник данных.

Если вы создали страницу для добавления пользователей в админ/контекст, она будет аутентифицирована в соответствии с этой конфигурацией.

Добавьте bean для вашего UserDao и/или UserService и/или AuthenticationService и передайте его своему контроллеру пользователей...

Ответ 2

Spring Безопасность JdbcUserDetailsManager. Это подкласс стандартного JDBC-интерфейса UserDetailsService с дополнительными методами для создания пользователей и т.д. Вы можете использовать его как DAO вместо своего.

Однако хеширование паролей должно выполняться явно. Например, если вы используете хэш SHA, вы можете использовать ShaPasswordEncoder.encodePassword().

Ответ 3

Нет такой встроенной функции для создания пользователей в безопасности spring. Он реализуется только для защиты ресурсов на основе правил для пользователей, которые пытаются войти в систему и получить доступ к ресурсам.