我在我的应用程序中使用Spring MVC,登录是通过Spring Security验证的。我有以下两个方法在我的UserServiceImpl.java
类,公共User细节loadUserByUsername(String userName)抛出UsernameNotFoundExc0019,DataAccessExc0019{
ApplicationTO applicationTO = null;
try
{
applicationTO = applicationService.getApplicationTO(adminDomainName);
}
catch (ApplicationPropertyException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
UserTO userTO = getUserTO(applicationTO.getApplicationId(), userName);
if (userTO == null)
{
throw new UsernameNotFoundException("user not found");
}
httpSession.setAttribute("userTO", userTO);
return buildUserFromUserEntity(userTO);
}
User buildUserFromUserEntity(UserTO userTO)
{
String username = userTO.getUsername();
String password = userTO.getPassword();
int userId = userTO.getUserId();
int applicationId = userTO.getApplicationId();
boolean enabled = userTO.isEnabled();
boolean accountNonExpired = true;
boolean credentialsNonExpired = true;
boolean accountNonLocked = true;
User user = new User(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, getAuthority(applicationId, userId));
return user;
}
我对Spring比较陌生,对Spring的安全性部分不太了解。在我的Spring Security中。xml
文件,我有以下内容,
<form-login login-page="/login" default-target-url="/module/user-home/welcome"
authentication-failure-url="/login?error" username-parameter="username"
password-parameter="password" />
<logout logout-success-url="/login?logout" />
<beans:bean id="daoAuthenticationProvider"
class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>
<beans:bean id="authenticationManager"
class="org.springframework.security.authentication.ProviderManager">
<beans:property name="providers">
<beans:list>
<beans:ref local="daoAuthenticationProvider" />
</beans:list>
</beans:property>
</beans:bean>
我的登录表单的操作设置如下:
<form id="loginForm" class="form-horizontal" role="form" name='loginForm' action="${rc.getContextPath()}/j_spring_security_check" method='POST'>
现在,我正在尝试获取用户在登录表单中输入的密码的值,可以是在
loadUserByUsername
方法中,也可以是通过向UserServiceImpl添加一个新方法。java
类。
在保存密码之前,我使用以下方法对密码进行加密。使用java加密和解密密码要使用什么API和算法
因此,在登录期间,spring security将用户输入的密码与数据库中的加密密码进行比较,登录失败。但是根据上面链接中建议的实现,有一种方法可以比较密码和加密密码,以检查它们是否相同。只有当我能够访问用户输入的密码时,这才是可能的。这就是我试图获取用户输入的密码的原因。
正如MangEngkus在回答中所建议的,您可以实现自己的自定义身份验证提供程序,但根据您的描述,我认为您不需要这样做。
您不需要在SpringSecurity中实现自己的密码哈希机制。您只需要从spring本身定义BCryptPasswordEncoder。
要么这样使用默认的:
<authentication-manager>
<authentication-provider>
<password-encoder hash="bcrypt" />
</authentication-provider>
</authentication-manager>
或者创建自己的bean并将其提供给默认提供者:
<authentication-manager>
<authentication-provider>
<password-encoder ref="encoder" />
</authentication-provider>
</authentication-manager>
<beans:bean id="encoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
<beans:constructor-arg name="strength" value="15" />
</beans:bean>
但对你来说,这就是方法:)
<beans:bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<beans:property name="userDetailsService" ref="userDetailsService"/>
<beans:property name="passwordEncoder" ref="encoder" />
</beans:bean>
<bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
如果您愿意,您可以创建自己的身份验证提供商
public class CustomAuthenticationProvider implements AuthenticationProvider{
private UserDetailsService service;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;
String username = token.getName();
String password = token.getCredentials(); // retrieve the password
// do something here
// if ok then return the authentication
return new UsernamePasswordAuthenticationToken(username, password, authorities);
}
}
并将其插入您的安全配置
<beans:bean id="customAuthenticationProvider"
class="com.xxx.CustomAuthenticationProvider">
<beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>
<beans:bean id="authenticationManager"
class="org.springframework.security.authentication.ProviderManager">
<beans:property name="providers">
<beans:list>
<beans:ref local="customAuthenticationProvider" />
</beans:list>
</beans:property>
</beans:bean>
当此用户登录系统时,我想更改用户名。我实现了自己的加密算法,但无法获得真正的密码来进行新的认证并将其放入
我正在努力实现一个登录功能,以在Spring Boot中保护REST API,我正在努力让用户名/密码JWT身份验证和SAML2身份验证同时工作。我最优先考虑的配置是不管发生什么都能工作的配置。目标是将SAML提供程序用作具有内部身份验证流的服务的替代身份提供程序,然后向用户授予JWT,无论他们使用SAML还是应用程序的登录名。 我将遵循SAML的这个示例,并构建了一个用户名/密码JWT授权,该授
我最近才开始使用firebase工作,我似乎不知道如何让用户用电子邮件、用户名和密码注册,这样以后用户就可以只用用户名和密码登录,我可以用电子邮件和密码登录,但我不知道如何用用户名和密码登录,简单的解释是赞赏的,因为我是新的,谢谢!
问题内容: 我正在做一个Greasemonkey脚本,该脚本通过REST API与Redmine票务管理器进行通信。由于用户需要登录才能从Redmine获取数据,因此我需要一种方法来询问用户在脚本安装时提供的凭据并将其保存到脚本中。 是否可以在不要求用户直接在脚本本身中编辑值的情况下实现? 编辑: 由于已经有此问题的答案,我将验证下面给出的答案,因为这是一个非常好的框架。 问题答案: 这是用于获取
我已经安装了Jenkins ver。OSX 10.11.3上的1.653,使用标准安装程序并添加git插件。我试着从github为公共项目创建一个作业,它成功了。现在,我试图创建私人回购作业使用用户名和密码,但它总是失败。这是日志: 在工作区中构建/Users/Shared/Jenkins/Home/workspace/MyProject git rev-parse --is-inside-wor
问题内容: 我需要输入USER表的USER_ID字段作为另一个表中的外键。因此,我认为我需要在用户登录时启动一个会话。我很难让它在任何地方回显。我能够启动一个会话,该会话允许我回显USERNAME,但无法将其复制为ID。 请帮忙吗?我的处理代码如下。我还粘贴了本节,我暂时尝试对其进行回显以进行测试。 处理脚本: 我希望USER_ID出现在哪里: 问题答案: 使用FETCH_ASSOC而不是FETC