spring security实现摘要认证

用户的权限会通过spring拦截器去做,spring security只通过它的过滤器去实现摘要认证。

web.xml中配置过滤器:


springSecurityFilterChain
org.springframework.web.filter.DelegatingFilterProxy


springSecurityFilterChain
/rest/*

spring-security配置文件:



//我们提供rest服务时,请求是rest开头



class="xxx.MyDigestAuthenticationFilter">

//MyDigestAuthenticationFilter是自定义的一个继承DigestAuthenticationFilter的类,(自定义MyDigestAuthenticationFilter类,必须添加DigestAuthUtils到本包下)重写了dofilter方法,为什么要重写?比如要处理获取token时,url中的username要和弹框(认证)中的username一致,dofilter方法中的其它代码可以不变。这个方法中比较重要的是userDetailsService的loadUserByUsername方法,这个方法会去数据库查询出用户,因为数据库密码可能是加密过的,所以要通过解密,解到和弹框(认证)中的原密码一致。然后在dofilter中会将这个密码再重新通过calculateServerDigest方法加密,最终就是通过这个加密的密码和弹框(认证)中被加密的密码相比较。当然,如果数据库中的密码如果无法解码,比如使用了MD5加密,那么在执行calculateServerDigest方法时,必须将passwordAlreadyEncoded成员变量设为true,这样就不会再去MD5一次(因为数据库已经MD5一次了)



class="org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">
value="Contacts Realm via Digest Authentication" />



 


//前面说过dofilter中的userDetailsService很重要,我们可以自定义一个,因为我们需要自己去查数据库

MyUserDetailsService类:

public class MyUserDetailsService implements UserDetailsService {
private static final Log logger = LogFactory.getLog(MyUserDetailsService.class);
@Override
public UserDetails loadUserByUsername(String loginName) throws UsernameNotFoundException {
Session session = HBUtil.openNewSession();
try {
Query query = session.createQuery("from SysUser a where a.loginName =:loginName");
query.setString("loginName", loginName);
SysUser sysUser = (SysUser) query.uniqueResult();
if (sysUser != null) {
String password = sysUser.getPassword();(可以通过解码获取原密码)
List list = new ArrayList<>();//这个不需要真正的权限,传个空集合即可,不能传null
UserDetails userDetails = new User(loginName, password, true, true, true, true, list);
return userDetails;
} else {
logger.error("无法获取密码!");
}
} catch (Exception e) {
logger.info("获取密码出错:" + e.getMessage());
} finally {
session.close(); // 释放资源
}
return null;
}
}

拦截器配置:



//这里要注意使用/**,不能使用/rest/**



因为这个拦截器需要鉴定权限,所以需要知道用户,如何知道呢?

使用Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
loginName = ((UserDetails) principal).getUsername();即可

拦截器配置完后,当通过拦截器,就会走controller(restful请求)

.do和rest请求可以共用一个拦截器,做个判断即可(判断请求中是否含rest即可)

另外.do和rest要配置两个子容器,即两个dispatcherservlet,不能共用一个


如果数据库中不能保存可解密的密码,那么就需要使用springsecurity提供的DigestAuthUtils.encodePasswordInA1Format(username, realm, password);进行存密码导数据库,这样一来,loadUserByUsername方法得到的密码就不需要解码,然后在DigestAuthenticationFilter中,将passwordAlreadyEncoded改为true,这样在执行generateDigest时,password就是a1Md5算法得到的密码(a1Md5算法得到的密码就是DigestAuthUtils.encodePasswordInA1Format(username, realm, password)得到的密码)。这样就可以实现不需要在数据库中存可解密的密码了。总之,想要在数据库对密码加密且不能解密,那么就必须使用springsecurity提供的DigestAuthUtils.encodePasswordInA1Format(username, realm, password)加密进行存储

你可能感兴趣的:(spring security实现摘要认证)