如何在Spring Security 3中实现自定义身份验证？

Question

我知道这已经回答了很多次,但我很困惑.我的应用程序中已经有一个身份验证机制,我只想使用Spring MVC的授权部分.我正在使用Spring MVC 3和Spring Security 3.

当我在互联网上搜索时,我找到了两个解决方案,第一个是实现AuthenticationProvider接口.例1.第二个是实现UserDetails和UserDetailsS​​ervice,Example2所以我迷失在这里.

---- ----更新

问题的第二部分在这里.以及解决方法的解决方案.

Answer 1

在大多数情况下,仅使用用户名和密码进行身份验证和角色授权时,实现自己的UserDetailsS​​ervice就足够了.

用户名密码认证的流程一般如下:

• Spring安全过滤器(基本身份验证/表单/ ..)获取用户名和密码,将其转换为UsernamePasswordAuthentication对象并将其传递给AuthenticationManager
• 身份验证管理器查找可以处理UsernamePasswordtokens的候选提供程序,在这种情况下,它是DaoAuthenticationProvider并传递令牌以进行身份​​验证
• 身份验证提供程序调用方法loadUserByUsername接口,如果用户不存在则抛出UsernameNotFound异常,或者返回包含用户名,密码和权限的UserDetails对象.
• 然后,身份验证提供程序会比较提供的UsernamePasswordToken和UserDetails对象的密码.(它也可以通过PasswordEncoders处理密码哈希)如果不匹配则验证失败.如果匹配则注册用户详细信息对象并将其传递给执行授权部分的AccessDecisionManager.

因此,如果DaoAuthenticationProvider中的验证符合您的需求.然后,您只需实现自己的UserDetailsS​​ervice并调整DaoAuthenticationProvider的验证.

使用spring 3.1的UserDetailsS​​ervice的示例如下:

Spring XML:

<security:authentication-manager>
     <security:authentication-provider user-service-ref="myUserDetailsService" />
</security:authentication-manager>

<bean name="myUserDetailsService" class="x.y.MyUserDetailsService" />

UserDetailsS​​ervice实现:

public MyUserDetailsService implements UserDetailsService {

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    //Retrieve the user from wherever you store it, e.g. a database 
    MyUserClass user = ...; 
    if (user == null) {
        throw new UsernameNotFoundException("Invalid username/password.");
    }
    Collection<? extends GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("Role1","role2","role3");
    return new User(user.getUsername(), user.getPassword(), authorities);
}

}