如何在Spring Security 3中设置用户角色?
我正在研究JAVA EE技术,以学习JSF-Spring-Hibernate与...我正在尝试做具有不同用户角色的web应用程序。现在,我只有一个用户角色ROLE_USER。我不能改变这个角色。我试着调试mod来理解我们是如何设置这个角色的,但我不能理解它发生在哪里。
所以,我的主要问题是我不能在我的应用程序中创建任何其他角色。如果我没有在我的流程中使用<secured attributes="ROLE_USER" /> (我使用的是spring web- flow ),那么每个人都可以访问该页面。如果我只做ROLE_USER。但是我想创建一个名为ROLE_ADMIN的新角色,并且只让ROLE_ADMIN访问该页面。
注意:我没有在这里添加所有的文件,因为我只添加了相关的类和文件。如果您需要额外的信息,请让我知道。
这是我正在学习的教程代码。https://code.google.com/p/jee-tutorial-youtube/source/browse/
security-config.xml
<?xml version="1.0" encoding="UTF-8"?><security:http auto-config="true">
<security:form-login login-page="/app/main"
default-target-url="/app/account" />
<security:logout logout-url="/app/logout"
logout-success-url="/app/main" />
</security:http>
<security:authentication-manager>
<security:authentication-provider
user-service-ref="userServiceImp">
<security:password-encoder hash="md5" />
</security:authentication-provider>
</security:authentication-manager>
<bean id="daoAuthenticationProvider"
class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<property name="userDetailsService" ref="userServiceImp" />
<property name="hideUserNotFoundExceptions" value="false" />
</bean>
<bean id="authenticationManager"
class="org.springframework.security.authentication.ProviderManager">
<constructor-arg>
<ref bean="daoAuthenticationProvider" />
</constructor-arg>
</bean>
这是我的UserAuthenticationProviderServiceImp类,我在其中对用户进行身份验证。
public boolean processUserAuthentication(Users user) {
try {
Authentication request = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
Authentication result = authenticationManager.authenticate(request);
SecurityContextHolder.getContext().setAuthentication(result);
return true;
} catch(AuthenticationException e) {
FacesContext.getCurrentInstance().addMessage(null,
new FacesMessage(FacesMessage.SEVERITY_ERROR, e.getMessage(), "Sorry!"));
return false;
}
}我计算出这个函数,我的服务类,是在processUserAuthentication.Then中调用的,我以为这是设置角色的函数。
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException {
Users user = userDao.loadUserByUserName(userName);
if (user == null) {
throw new UsernameNotFoundException(String.format(
getMessageBundle().getString("badCredentials"), userName));
}
Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
authorities.add(new SimpleGrantedAuthority("USER_ROLE"));
User userDetails = new User(user.getUserName(), user.getPassword(),
authorities);
return userDetails;
}更新:
在我的项目中,我必须使用以下语法来创建角色: ROLE_X,其中x是任意字符串。例如,我们可以使用ROLE_MYNAME,但不能使用juts、MYNAME或MYNAME_ROLE作为角色。它必须从ROLE_开始。我仍然在努力找出这个问题的原因。如果我找到任何答案,我会更新的。
编辑:在这个页面上有一个详细的解释为什么我们必须使用ROLE_;http://bluefoot.info/howtos/spring-security-adding-a-custom-role-prefix/
回答 1
Stack Overflow用户
发布于 2014-07-24 01:14:39
现在,USER_ROLE被硬编码到您的应用程序中。理想情况下,用户到角色的映射应该来自数据库中的权限表。然后,可以使用DB查询检索此映射信息,然后将其添加到权限集合中。
authorities.add(loadUserAuthorities(user.getUsername()));
protected List<GrantedAuthority> loadUserAuthorities(String username) {
List<GrantedAuthority> authorities = null;
Object[] params = { username };
authorities = authoritiesByUsernameMapping.execute(params); // Query to get Authorities
return authorities;
}https://stackoverflow.com/questions/24912882
复制相似问题