首页

在Spring Security中添加新用户

java jakarta-ee spring spring-security
2022-09-03 14:23:41

我在我的Spring / Java EE Web应用程序中设置了基本的弹簧安全性。我可以限制对某些页面的访问并强制登录(使用角色等)。需要有一个表单,新用户可以在其中注册并指定登录名和密码。

我想知道,要创建新用户,我是否只是像查询任何查询一样查询和更新适当的spring安全表(例如,使用休眠),或者是否有内置功能来创建新用户?如果我只是使用标准 DAO 来更新用户,我应该如何处理密码的哈希?

谢谢!


答案 1

您必须合并此页面上的所有答案。

  • Teja是正确的,没有便利的方法来动态添加用户。
  • Axtavt也是正确的。您需要某种数据访问/服务层来更新用户表。换句话说,您需要像创建具有某种超级用户访问权限的任何其他页面一样创建视图。
  • Michal和ax给出了很好的建议,您可能需要在保存密码之前对其进行编码。摘要应与检索凭据时使用的任何内容匹配。

下面是一个使用 JDBC 的配置示例:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                         http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
                        http://www.springframework.org/schema/security
                         http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">

    <global-method-security secured-annotations="enabled"/>

    <http auto-config="true" access-denied-page="/accessDenied.jsp">
        <!-- login page has anonymous access -->
        <intercept-url pattern="/login.jsp*" filters="none"/>
        <!-- all pages are authenticated -->
        <intercept-url pattern="/**.action" access="ROLE_USER, ROLE_ADMIN"  />  
        <!-- all admin contextual pages are authenticated by admin role -->
        <intercept-url pattern="/admin/**" access="ROLE_ADMIN"  />
        <form-login authentication-failure-url="/login.jsp?login_error=1" default-target-url="/index.action" login-page="/login.jsp"/>
        <logout logout-success-url="/index.action"/>
    </http>     

    <authentication-provider>
        <password-encoder hash="md5" /> 
        <jdbc-user-service data-source-ref="dataSource" 
            authorities-by-username-query="SELECT username, role AS authority FROM sweet_users WHERE username = ?"
            users-by-username-query="SELECT username, password, 1 AS enabled FROM sweet_users WHERE username = ?" />
    </authentication-provider>
</beans:beans>

这是使用自定义查询来获取用户。Spring Security需要一个分别包含用户名,密码和权限列名称的用户表,因此请执行您需要执行的操作来返回这些名称。您需要提供数据源。

如果您创建了一个用于在 admin/ 上下文下添加用户的页面,则会根据此配置对其进行身份验证。

为您的 UserDao 和/或 UserService 和/或 AuthenticationService 添加一个 Bean,并将其传递给您的 Users 控制器...


答案 2

Spring Security有JdbcUserDetailsManager。它是默认的基于 JDBC 的子类,具有用于创建用户等的其他方法。您可以将其用作 DAO 而不是您自己的 DAO。UserDetailsService

但是,应显式处理密码哈希。例如,如果使用 SHA 哈希,则可以使用 ShaPasswordEncoder.encodePassword()。


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »