spring security 安全框架remember me,demo学习
本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/50018001未经博主允许不得转载。
博主地址是:http://blog.csdn.net/freewebsys
1,spring security
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。
在安全框架这边使用最多的就是spring security。
论坛资料比较充实。
一个哥们写的例子,使用用的spring secuirty3开发的。
http://www.mkyong.com/spring-security/spring-security-remember-me-example/
spring security 相关内容:
http://www.mkyong.com/tutorials/spring-security-tutorials/
官方api:
http://docs.spring.io/spring-security/site/docs/3.1.x/reference/springsecurity.html
首先根据demo下载源代码,解压缩导入工程。
代码很简单,4个jsp文件,一个controller。
数据库使用mysql,创建数据库和表:
CREATE TABLE users ( username VARCHAR(45) NOT NULL , password VARCHAR(45) NOT NULL , enabled TINYINT NOT NULL DEFAULT 1 , PRIMARY KEY (username));
CREATE TABLE user_roles ( user_role_id int(11) NOT NULL AUTO_INCREMENT, username varchar(45) NOT NULL, role varchar(45) NOT NULL, PRIMARY KEY (user_role_id), UNIQUE KEY uni_username_role (role,username), KEY fk_username_idx (username), CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));
INSERT INTO users(username,password,enabled) VALUES ('mkyong','123456', true);
INSERT INTO users(username,password,enabled) VALUES ('alex','123456', true);
INSERT INTO user_roles (username, role) VALUES ('mkyong', 'ROLE_USER');
INSERT INTO user_roles (username, role) VALUES ('mkyong', 'ROLE_ADMIN');
INSERT INTO user_roles (username, role) VALUES ('alex', 'ROLE_USER');
CREATE TABLE persistent_logins ( username varchar(64) not null, series varchar(64) not null, token varchar(64) not null, last_used timestamp not null, PRIMARY KEY (series) );其中persistent_logins 是记录用户remember me的。
使用token换用户名。
具体运行的效果,在那个demo里面已经介绍的非常清楚了。
使用remember me登陆之后会有一个cookie。
当退出之后就没了。
当没用权限的时候返回403。
配置authentication-manager
<authentication-manager>
<authentication-provider>
<jdbc-user-service data-source-ref="dataSource" users-by-username-query="select username,password, enabled from users where username=?" authorities-by-username-query="select username, role from user_roles where username =? " />
</authentication-provider>
</authentication-manager>首先配置了数据源,按用户名密码查询表users,查询再按照和用户名查询权限。返回权限列表。
当时remember me情况登陆的时候直接查询persistent_logins,用token换用户登陆名,在用户登录名查询用户信息,权限。
但是在做互联网应用的时候,一般用户就一个权限。根本没用role表,不用这么复杂。
3,自定义AuthenticationProvider
首先实现一个UserDetailsService。这里应该进行数据库查询。然后返回UserDetails。这里省略直接创建一个对象,密码写死,只要是登陆成功兜风返回ROLE_USER权限。
public class MyUserDetailsService implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException {
ArrayList list = new ArrayList();
list.add(new SimpleGrantedAuthority("ROLE_USER"));
User details = new User("demo", "demo", list);
return details;
}
}然后实现一个AuthenticationProvider
public class MyAuthenticationProvider implements AuthenticationProvider {
@Autowired
UserDetailsService userDetailsService;
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
//username
System.out.println("user name: " + authentication.getName());
//password
System.out.println("password: " + authentication.getCredentials());
System.out.println("getPrincipal: " + authentication.getPrincipal());
System.out.println("getAuthorities: " + authentication.getAuthorities());
System.out.println("getDetails: " + authentication.getDetails());
UserDetails userDetails = (UserDetails) this.userDetailsService.loadUserByUsername(authentication.getName());
if (userDetails != null && userDetails.getPassword() != null
&& !userDetails.getPassword().equals(authentication.getCredentials())) {
//如果密码不相同直接抛出异常。
throw new UserNamePasswordErrorException("用户名或密码错!");
}
//如果用户名密码正确。
UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
userDetails, authentication.getCredentials(), userDetails.getAuthorities());
return result;
}
public boolean supports(Class authentication) {
return true;
}
public void setUserDetailsService(UserDetailsService userDetailsService) {
this.userDetailsService = userDetailsService;
}
}这里如果用户名密码错误,直接抛出一个自定义异常:
public class UserNamePasswordErrorException extends AuthenticationException {
public UserNamePasswordErrorException(String msg) {
super(msg);
}
}然后修改配置:
<bean id="userDetailsService" class="com.demo.security.auth.MyUserDetailsService"/>
<bean id="myAuthenticationProvider" class="com.demo.security.auth.MyAuthenticationProvider">
<property name="userDetailsService" ref="userDetailsService"/>
</bean>
<authentication-manager>
<authentication-provider ref="myAuthenticationProvider">
</authentication-provider>
</authentication-manager>
4,总结
本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/50018001未经博主允许不得转载。
博主地址是:http://blog.csdn.net/freewebsys
spring security在安全上面只要配置下就好了,很方便。
但只是进行了初步的研究。比如加密问题,比如cookie改名字的问题,还需要继续研究。