用户的权限会通过spring拦截器去做,spring security只通过它的过滤器去实现摘要认证。
web.xml中配置过滤器:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/rest/*</url-pattern>
</filter-mapping>
spring-security配置文件:
<http entry-point-ref="digestEntryPoint" >
<csrf disabled="true"/>
<intercept-url pattern="/rest/**" access="isAuthenticated()" />//我们提供rest服务时,请求是rest开头
<custom-filter ref="digestFilter" position="DIGEST_AUTH_FILTER" />
</http>
<beans:bean id="digestFilter"
class="xxx.MyDigestAuthenticationFilter">
//MyDigestAuthenticationFilter是自定义的一个继承DigestAuthenticationFilter的类,(自定义MyDigestAuthenticationFilter类,必须添加DigestAuthUtils到本包下)重写了dofilter方法,为什么要重写?比如要处理获取token时,url中的username要和弹框(认证)中的username一致,dofilter方法中的其它代码可以不变。这个方法中比较重要的是userDetailsService的loadUserByUsername方法,这个方法会去数据库查询出用户,因为数据库密码可能是加密过的,所以要通过解密,解到和弹框(认证)中的原密码一致。然后在dofilter中会将这个密码再重新通过calculateServerDigest方法加密,最终就是通过这个加密的密码和弹框(认证)中被加密的密码相比较。当然,如果数据库中的密码如果无法解码,比如使用了MD5加密,那么在执行calculateServerDigest方法时,必须将passwordAlreadyEncoded成员变量设为true,这样就不会再去MD5一次(因为数据库已经MD5一次了)
<beans:property name="userDetailsService" ref="myUserDetailsService" />
<beans:property name="authenticationEntryPoint" ref="digestEntryPoint" />
</beans:bean>
<beans:bean id="digestEntryPoint"
class="org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">
<beans:property name="realmName"
value="Contacts Realm via Digest Authentication" />
<beans:property name="key" value="acegi" />
</beans:bean>
<authentication-manager id="authManager">
<authentication-provider user-service-ref="myUserDetailsService"/>
</authentication-manager>
<beans:bean id="myUserDetailsService" class="xxx.MyUserDetailsService">
//前面说过dofilter中的userDetailsService很重要,我们可以自定义一个,因为我们需要自己去查数据库
</beans:bean>
MyUserDetailsService类:
public class MyUserDetailsService implements UserDetailsService {
private static final Log logger = LogFactory.getLog(MyUserDetailsService.class);
@Override
public UserDetails loadUserByUsername(String loginName) throws UsernameNotFoundException {
Session session = HBUtil.openNewSession();
try {
Query query = session.createQuery("from SysUser a where a.loginName =:loginName");
query.setString("loginName", loginName);
SysUser sysUser = (SysUser) query.uniqueResult();
if (sysUser != null) {
String password = sysUser.getPassword();(可以通过解码获取原密码)
List<GrantedAuthority> list = new ArrayList<>();//这个不需要真正的权限,传个空集合即可,不能传null
UserDetails userDetails = new User(loginName, password, true, true, true, true, list);
return userDetails;
} else {
logger.error("无法获取密码!");
}
} catch (Exception e) {
logger.info("获取密码出错:" + e.getMessage());
} finally {
session.close(); // 释放资源
}
return null;
}
}
拦截器配置:
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**" />//这里要注意使用/**,不能使用/rest/**
<bean class="xxx.AuthorityInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
因为这个拦截器需要鉴定权限,所以需要知道用户,如何知道呢?
使用Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
loginName = ((UserDetails) principal).getUsername();即可
拦截器配置完后,当通过拦截器,就会走controller(restful请求)
.do和rest请求可以共用一个拦截器,做个判断即可(判断请求中是否含rest即可)
另外.do和rest要配置两个子容器,即两个dispatcherservlet,不能共用一个
如果数据库中不能保存可解密的密码,那么就需要使用springsecurity提供的DigestAuthUtils.encodePasswordInA1Format(username, realm, password);进行存密码导数据库,这样一来,loadUserByUsername方法得到的密码就不需要解码,然后在DigestAuthenticationFilter中,将passwordAlreadyEncoded改为true,这样在执行generateDigest时,password就是a1Md5算法得到的密码(a1Md5算法得到的密码就是DigestAuthUtils.encodePasswordInA1Format(username, realm, password)得到的密码)。这样就可以实现不需要在数据库中存可解密的密码了。总之,想要在数据库对密码加密且不能解密,那么就必须使用springsecurity提供的DigestAuthUtils.encodePasswordInA1Format(username, realm, password)加密进行存储
扫一扫
2626
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
