1. 首页
  2. 问答
  3. SpringSecurity使用UserDetailsS​​ervice和Hibernate登录

SpringSecurity使用UserDetailsS​​ervice和Hibernate登录

2012-07-06 152 views
1

我一直在使用Spring Security在SpringMVC中创建有用的表单登录。我在这方面很新手,也是Hibernate。我想创建简单的表单登录,可以访问我的Web应用程序。SpringSecurity使用UserDetailsS​​ervice和Hibernate登录

我已经使用SpringSource Tool Suite创建了我的项目并选择了Spring Template Project。它使用Maven,我也通过Hibernate类生成注释和hibernate.cfg.xml。在我的数据库(HSQLDB)中,我有三个表:用户,角色和users_roles。第三个包含user_id和role_id,因此它存储有关用户角色的信息。我已经通过Hibernate生成了类。

我已经开始编写实现UserDetailsS​​ervice的类。但我不知道如何正确地做到这一点。在spring-security.xml我已经定义的bean是这样的:

<bean id="userDetailsService" class="hutter.pl.services.HutterUserDetailsService" />

我想用的SHA-256散列saltSource。

<bean class="org.springframework.security.authentication.dao.ReflectionSaltSource" id="saltSource"> 
    <property name="userPropertyToUse" value="username"/> 
</bean> 

<security:authentication-manager> 
    <security:authentication-provider user-service-ref="userDetailsService"> 
     <security:password-encoder hash="sha-256"> 
      <security:salt-source ref="saltSource" /> 
     </security:password-encoder> 
    </security:authentication-provider> 
</security:authentication-manager>

我是否应该使用此解决方案:https://stackoverflow.com/a/1654488/845220? Hibernate拥有类似的类:RolesHome,Roles,Users,UsersHome,UsersRoles,UsersRolesHome。但我真的不知道如何使用这些冬眠班授权用户。

@Service("userDetailsService") 
public class MyUserDetailsService implements UserDetailsService { 

    @Transactional(readOnly = true) 
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 
     UsersHome usersHome = new UsersHome(); 
     //Users user = ...  
     //...    
     return null;  
    } 
}

你能给我一些提示吗?

编辑: 我已尝试添加方法public Users findByLogin(String login)UsersHome类。

public Users findByLogin(String login) { 
    log.debug("getting Users instance with login: " + login); 
    try { 
     Users instance = entityManager.find(Users.class, login); 
     log.debug("get successful"); 
     return instance; 
    } catch (RuntimeException re) { 
     log.error("get failed", re); 
     throw re; 
    } 
}

而我的UserDetailsS​​ervice的身体看起来像:

UsersHome usersHome = new UsersHome(); 
Users user = usersHome.findByLogin(username);

但我有错误时抛出:

ERROR: my.package.dao.UsersHome - get failed 
java.lang.NullPointerException 
at my.package.dao.UsersHome.findByLogin(UsersHome.java:72) 
at my.package.services.HutterUserDetailsService.loadUserByUsername(MyUserDetailsService.java:19)

来源

2012-07-06 woyaru

+0

我使用休眠核心版本4.1.4.FINAL和spring.framework在3.1.0.RELEASE。我读过这个版本不支持。这是真的? – woyaru 2012-07-06 12:10:27

+0

我不明白 - 所以你返回null,然后得到一个空指针异常。您可以遍历调试器中的MyUserDetailsS​​ervice.loadUserByUsername并查找出现错误的部分。 ---换句话说 - 哪个对象为空? – 2012-07-06 13:11:08

+0

我刚刚意识到由Hibernate生成的类包含'private EntityManager entityManager;'但它没有在任何地方定义。当'entityManager'使用时,我有NullPointer。我认为Hibernate类是完整的。所以大概我应该不得不以某种我不知道的方式来管理'entityManager'。 – woyaru 2012-07-06 13:18:18

回答

7

我觉得你并不需要实现一个UserService自己。您可以使用jdbc-user-service与数据源:

<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"> 
    <property name="driverClassName" value="com.mysql.jdbc.Driver" /> 
    <property name="url" value="jdbc:mysql://localhost:3306/mydb" /> 
    <property name="username" value="root" /> 
    <property name="password" value="password" /> 
</bean> 

<authentication-manager> 
    <authentication-provider> 
    <jdbc-user-service data-source-ref="dataSource" 
     users-by-username-query="select username,password, enabled from users where username=?" 
     authorities-by-username-query="select u.username, ur.authority from users u, user_roles ur where u.user_id = ur.user_id and u.username =?" 
    /> 
    </authentication-provider> 
</authentication-manager>

随着性能users-by-username-queryusers-by-username-query您可以定义查询的Spring Security应使用从数据源接收的用户和权限。

实现,如果

  • 要返回自定义UserDetails对象的用户对象和当局
  • 的receival(你可以通过SecurityContextHolder后访问)自己UserService必要过于复杂和/或不能在jdbc-user-service

,方便查询定义的一种可能实现的UserDetailsS​​ervice的看起来是这样的:

@Service("userDetailsService") 
public class MyUserDetailsService implements UserDetailsService { 

    @PersistenceContext 
    private EntityManager entityManager; 

    @Transactional(readOnly = true) 
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 

    // this works only if username is the primary key of user 
    // if thats not the case you have to create a query object to receive the user by username 
    User user = entityManager.find(User.class, username); 

    List<GrantedAuthority> roles = .... // get roles for user, depends on your table structure 

    if (user == null) { 
     // user not found 
     throw new UsernameNotFoundException(); 
    } 
    return new MyUserDetails(user, roles); 
    } 

    private static class MyUserDetails implements UserDetails { 
    private User user; 
    private List<Role> roles; 

    public MyUserDetails(Usere user, List<GrantedAuthority> roles) { 
     this.user = user; 
     this.roles = roles; 
    } 

    public Collection<GrantedAuthority> getAuthorities() { 
     return roles; 
    } 

    public String getPassword() { 
     return user.getPassword(); 
    } 

    public String getUsername() { 
     return user.getUsername(); 
    } 

    // return true for the missing boolean methods.. 
    } 
}

(语法为未选中)

对于第一测试它可以帮助禁用密码编码器和存储密码的数据库加密。这样可以避免由于配置错误PasswordEncoders而导致身份验证不起作用的问题。一旦你的用户服务运行,你可以再次添加一个PasswordEncoder并将散列的密码存储在数据库中。

希望它可以帮助:-)

来源

2012-07-08 10:06:10 micha

相关问题

 相关问题