Java开发之spring security实现基于MongoDB的认证功能

本文实例讲述了Java开发之spring security实现基于MongoDB的认证功能。分享给大家供大家参考,具体如下:

spring security对基于数据库的认证支持仅限于JDBC,而很多项目并非使用JDBC,比如Nosql数据库很多使用的是 Mongo Java Driver,这样就无法用默认的<jdbc-user-service>进行支持认证。

如果项目不是使用JDBC,没么解决办法就是:自己定义一个认证服务。

新建一个CustomUserDetailsService类

这个类实现了UserDetailsService接口。代码如下:

public class CustomUserDetailsService implements UserDetailsService {
  @Autowired
  MongoDBHelper dbhelper;
  /*
   * 根据用户名加载认证用户
   */
  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
     //步骤一:从数据库中查出用户数据
    MongoDatabase db = dbhelper.getDB("huanle");
    MongoCollection<Document> users = db.getCollection("user");
    Document filter = new Document();
    filter.append("account",username);
    Document result = users.find(filter).first();
    if(result==null) throw new UsernameNotFoundException(username+"不存在");
    //步骤二:装配到UserDetails,相当于生成了一个<user>标签
    UserDetails userDetails = new User(result.getString("account"),           result.getString("password"), true, true, true, true,getAuthorities(result.getInteger("access")) );
    return userDetails;
  }
  /** 根据用户级别,获得角色列表。比如用户级别为1,表示该用户是管理员,则返回ROLE_USER,ROLE_ADMIN
   * @param access 用户级别
   * @return 用户角色列表
   */
  public Collection<GrantedAuthority> getAuthorities(int access){
    List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>(2);
    authList.add(new SimpleGrantedAuthority("ROLE_USER"));
    if(access==1){
      authList.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
    }
    return authList;
  }
}

修改spring-security.xml文件

<http>
  <intercept-url pattern="/user/**" access="hasRole('USER')" />
  <intercept-url pattern="/admin/**" access="hasRole('ADMIN')" />
  <form-login login-page="/login"
     login-processing-url="/login"
     authentication-failure-url="/login?error"
     default-target-url="/"
     username-parameter="phone"
     password-parameter="password" />
  <logout invalidate-session="true"
    logout-url="/loginout"
    logout-success-url="/login"/>
</http>
<authentication-manager>
  <authentication-provider user-service-ref="customUserDetailsService" >
  </authentication-provider>
</authentication-manager>
<!-- 自定义认证服务 -->
<beans:bean id="customUserDetailsService" class="com.huanle.utils.security.CustomUserDetailsService"></beans:bean>

这里通过<form-login>标签定义了登录,其相关属性说明如下:

属性 说明
login-page=”/login” 登录界面的位置
login-processing-url=”/login” 登录表单post到“/login”
authentication-failure-url=”/login?error” 登录失败,重定向到“/login?error”
default-target-url=”/” 登录成功,重定向到“/”
username-parameter=”phone” 登录表单中,名为phone的参数作为认证的username
password-parameter=”password” 登录表单中,名为password的参数作为认证的password

通过<authentication-provider user-service-ref="customUserDetailsService" >使用我们自定义的认证服务

最后,看一下login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
  pageEncoding="UTF-8"%>
<%@taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
<%@taglib prefix="my" uri="/WEB-INF/custom.tld" %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>用户登录</title>
</head>
<body>
  <form:form action="/login" method="post" commandName="login">
       <ul>
         <li>手机号:<form:input id="phone" name="phone" type="text" path="phone" /></li>
         <li>密码:<form:input id="password" name="password" type="text" path="password"/></li>
         <li>
         <input style=" margin-right:30px; margin-left:70px" type="submit" value="登录"/>
         </li>
       </ul>
  </form:form>
</body>
</html>

可见,这个登录页面跟平常使用的并无区别,这都要归功于username-parameter="phone"和password-parameter="password"这两个配置。

总结

从上面的代码可见,自定义的用户认证服务CustomUserDetailsService的唯一任务就是:根据用户名从数据库获取用户数据,生成一个UserDetails实例。

这个UserDetails实例包含了用户名和密码,spring security从这个对象里获得数据库里的用户数据,和从form里提交的用户名、密码进行比对,即可认证用户。

更多关于java相关内容感兴趣的读者可查看本站专题:《Spring框架入门与进阶教程》、《Java数据结构与算法教程》、《Java操作DOM节点技巧总结》、《Java文件与目录操作技巧汇总》和《Java缓存操作技巧汇总》

希望本文所述对大家java程序设计有所帮助。

(0)

相关推荐

  • Spring security实现登陆和权限角色控制

     随笔简介 1.spring版本:4.3.2.RELEASE+spring security 版本:4.1.2.RELEASE(其它不做说明) 2.所展示内容全部用注解配置 3.springmvc已经配置好,不作说明 4.会涉及到springmvc,spel,el的东西,不熟悉的同学可以先去看一下这方面内容,特别是springmvc 首先想一下,登陆需要什么,最简单的情况下,用户名,密码,然后比对数据库,如果吻合就跳转到个人页面,否则回到登陆页面,并且提示用户名密码错误.这个过程中应该还带有权限

  • 使用spring连接及操作mongodb3.0实例

    前边有一篇记录过不使用spring,直接在java代码中连接和操作mongodb数据库,这里就紧随其后记录一下使用spring的情况下,在java中简单操作mongodb. maven导包配置: 因为涉及了sping以及springmvc,因此也需要导入它们相关的包: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instanc

  • java中自定义Spring Security权限控制管理示例(实战篇)

    背景描述 项目中需要做细粒的权限控制,细微至url + httpmethod (满足restful,例如: https://.../xxx/users/1, 某些角色只能查看(HTTP GET), 而无权进行增改删(POST, PUT, DELETE)). 表设计 为避嫌,只列出要用到的关键字段,其余敬请自行脑补. 1.admin_user 管理员用户表, 关键字段( id, role_id ). 2.t_role 角色表, 关键字段( id, privilege_id ). 3.t_privi

  • 最流行的java后台框架spring quartz定时任务

    配置quartz 在spring中需要三个jar包: quartz-1.8.5.jar.commons-collections-3.2.1.jar.commons-logging-1.1.jar 首先要配置我们的spring.xml xmlns 多加下面的内容. xmlns:task="http://www.springframework.org/schema/task" 然后xsi:schemaLocation多加下面的内容. http://www.springframework.o

  • java Spring整合Freemarker的详细步骤

    我的開發環境框架:springmvc開發工具:springsource-tool-suite-2.9.0版本:1.6.0_29tomcat版本:apache-tomcat-7.0.26前言:FreeMarker是一个用Java语言编写的模板引擎,它基于模板来生成文本输出.FreeMarker与Web容器无关,即在Web运行时,它并不知道Servlet或HTTP.它不仅可以用作表现层的实现技术,而且还可以用于生成XML,JSP或Java 等.簡而言之,Freemarker就是在Jave Web開發

  • 详解Java的Spring框架中的事务管理方式

    数据库事务是被当作单个工作单元的操作序列.这些操作要么全部完成或全部不成功.事务管理是面向企业应用程序,以确保数据的完整性和一致性RDBMS中的重要组成部分.事务的概念可以用下面的描述为ACID四个关键属性来描述: 原子性: 一个事务应该被视为单个操作单元表示的操作的任一整个序列是成功的或不成功的. 一致性: 这代表了数据库的参照完整性,在桌等唯一主键的一致性 隔离性: 可能有很多事务处理相同的数据集的同时,每个事务都应由他人隔离,以防止数据损坏. 持久性: 一旦事务完成,本次事务的结果必须作出

  • 话说Spring Security权限管理(源码详解)

    最近项目需要用到Spring Security的权限控制,故花了点时间简单的去看了一下其权限控制相关的源码(版本为4.2). AccessDecisionManager spring security是通过AccessDecisionManager进行授权管理的,先来张官方图镇楼. AccessDecisionManager AccessDecisionManager 接口定义了如下方法: //调用AccessDecisionVoter进行投票(关键方法) void decide(Authent

  • Java中SpringSecurity密码错误5次锁定用户的实现方法

    Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作. 下面看下实例代码: 第

  • spring实例化javabean的三种方式分享

    第一种:直接配置javabean文件 bean.xml 复制代码 代码如下: <bean id="sayhello" class="test.service.impl.HelloBean"/> personDao.java 复制代码 代码如下: package springdao;public class personDao { private String name; private String dep; public String getName(

  • 详解Java Spring各种依赖注入注解的区别

    注解注入顾名思义就是通过注解来实现注入,Spring和注入相关的常见注解有Autowired.Resource.Qualifier.Service.Controller.Repository.Component. Autowired是自动注入,自动从spring的上下文找到合适的bean来注入 Resource用来指定名称注入 Qualifier和Autowired配合使用,指定bean的名称 Service,Controller,Repository分别标记类是Service层类,Contro

  • 实例讲解Java的Spring框架中的AOP实现

    简介 面向切面编程(AOP)提供另外一种角度来思考程序结构,通过这种方式弥补了面向对象编程(OOP)的不足. 除了类(classes)以外,AOP提供了 切面.切面对关注点进行模块化,例如横切多个类型和对象的事务管理. (这些关注点术语通常称作 横切(crosscutting) 关注点.) Spring的一个关键的组件就是 AOP框架. 尽管如此,Spring IoC容器并不依赖于AOP,这意味着你可以自由选择是否使用AOP,AOP提供强大的中间件解决方案,这使得Spring IoC容器更加完善

  • Spring security实现权限管理示例

    Spring security实现权限管理示例,具体如下: 1.配置文件 1.POM.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.o

随机推荐