Wie Sie automatisch melden Sie sich als Benutzer mit Spring Security, ohne zu wissen, Ihr Passwort?

Meine Anwendung verwendet, Spring Security, und mein Kunde verlangt:

  • Benutzer werden in der Lage, automatisch einloggen nach der Anmeldung.
  • einen admin-login, da jeder Nutzer, ohne zu wissen, Ihr Passwort.

Also muss ich herausfinden, wie login, da jeder Nutzer automatisch, ohne zu wissen, Ihr Passwort.

Wie kann dies erreicht werden mit Spring Security.

InformationsquelleAutor Brad Parks | 2012-08-21

  1. 5

    Zu bekommen dies funktioniert, hatte ich zu:

    Konfigurieren Sie einen Verweis auf die UserDetailsService (jdbcUserService)

    <authentication-manager>
<authentication-provider>
<jdbc-user-service id="jdbcUserService" data-source-ref="dataSource"
  users-by-username-query="select username,password, enabled from users where username=?" 
  authorities-by-username-query="select u.username, ur.authority from users u, user_roles ur where u.user_id = ur.user_id and u.username =?  " 
/>
</authentication-provider>
</authentication-manager>

    Autowire meine userDetailsManager in meinem controller:

    @Autowired
@Qualifier("jdbcUserService")  //<-- this references the bean id
public UserDetailsManager userDetailsManager;

    In den gleichen controller, authentifizieren meine Benutzer-wie so:

    @RequestMapping("/automatic/login/test")
public @ResponseBody String automaticLoginTest(HttpServletRequest request) 
{
    String username = "[email protected]";

    Boolean result = authenticateUserAndInitializeSessionByUsername(username, userDetailsManager, request);

    return result.toString();
}

public boolean authenticateUserAndInitializeSessionByUsername(String username, UserDetailsManager userDetailsManager, HttpServletRequest request)
{
    boolean result = true;

    try
    {
        //generate session if one doesn't exist
        request.getSession();

        //Authenticate the user
        UserDetails user = userDetailsManager.loadUserByUsername(username);
        Authentication auth = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(auth);
    }
    catch (Exception e)
    {
      System.out.println(e.getMessage());

      result = false;
    }

    return result;
}

    Beachten Sie, dass eine gute Vorstufe zur einfachen Verwendung von spring security für Ihre app finden Sie hier.

    in der Javadoc über UsernamePasswordAuthenticationToken sagte: Dieser Konstruktor sollte nur benutzt werden, AuthenticationManager oder AuthenticationProvider Implementierungen, die zufrieden sind mit der Herstellung eines vertrauenswürdigen (d.h. isAuthenticated() = true) token-Authentifizierung.
    Dies war die einzige Möglichkeit, die ich gefunden, um "logging in als Benutzer, ohne zu wissen Ihr Passwort" zu arbeiten... ich bin nicht die an diesem Projekt arbeiten mehr, aber denke, dass die docs gelesen werden könnte, da "dieser Konstruktor sollte nur verwendet werden, durch den code, der zufrieden ist mit der Herstellung einer vertrauenswürdigen (d.h. isAuthenticated() = true) Authentifizierungs-token"... wenn du einen besseren Weg finden, auf jeden Fall hier posten!
    In meinem spring security integriert extjs-Anwendung funktioniert das nur für mich nach dem Austausch der vorhandenen spring security-Kontext-Taste in der Sitzung mit der neu authentifizierte Sicherheitskontext. request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());

    InformationsquelleAutor Brad Parks

  2. 1

    für das zweite problem

    einen admin-login, da jeder Nutzer, ohne zu wissen, Ihr Passwort.

    sollten Sie die Option user-feature von spring. javadoc und Artikel

    hey! danke! Ich wusste nicht, dass das feature existiert

    InformationsquelleAutor Jigar Parekh

  3. 1

    Dies ist die Antwort auf obige Frage
    In Controller:

    @RequestMapping(value = "/registerHere", method = RequestMethod.POST)
    public ModelAndView registerUser(@ModelAttribute("user") Users user, BindingResult result,
            HttpServletRequest request, HttpServletResponse response) {
        System.out.println("register 3");

        ModelAndView mv = new ModelAndView("/home");
        mv.addObject("homePagee", "true");

        String uname = user.getUsername();

        if (userDAO.getUserByName(uname) == null) {

            String passwordFromForm = user.getPassword();
            userDAO.saveOrUpdate(user);

            try {
                authenticateUserAndSetSession(user, passwordFromForm, request);
            } catch (Exception e) {
                //TODO Auto-generated catch block
                e.printStackTrace();
            }


        }

        System.out.println("register 4");

        log.debug("Ending of the method registerUser");
        return mv;
    }

    Weiter oben beschriebenen Methode im controller definiert ist als:

    `private void authenticateUserAndSetSession(Users user, String passwor`dFromForm, HttpServletRequest request){

        String username = user.getUsername();
        System.out.println("username:  " + username + " password: " + passwordFromForm);                        

        UserDetails userDetails = userDetailsService.loadUserByUsername(user.getUsername());

        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(username, passwordFromForm, userDetails.getAuthorities());
        request.getSession();

        System.out.println("Line Authentication 1");

        usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetails(request));

        System.out.println("Line Authentication 2");

        Authentication authenticatedUser = authenticationManager.authenticate(usernamePasswordAuthenticationToken);

        System.out.println("Line Authentication 3");


        if (usernamePasswordAuthenticationToken.isAuthenticated()) {
            SecurityContextHolder.getContext().setAuthentication(authenticatedUser);
            System.out.println("Line Authentication 4");

        }

     request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());//creates context for that session.

        System.out.println("Line Authentication 5");

        session.setAttribute("username", user.getUsername());

        System.out.println("Line Authentication 6");

        session.setAttribute("authorities", usernamePasswordAuthenticationToken.getAuthorities());

        System.out.println("username:  " + user.getUsername() + "password: " + user.getPassword()+"authorities: "+ usernamePasswordAuthenticationToken.getAuthorities());

        user = userDAO.validate(user.getUsername(), user.getPassword());
        log.debug("You are successfully register");

    }

    Anderen Antworten nicht vorschlagen, um es mit try/catch, damit man nicht erkennen, warum die Logik funktioniert nicht als code ausgeführt...und nichts ist es weder ein Fehler oder eine exception auf der Konsole. Also, wenn Sie nicht setzen Sie es in versuchen, Sie zu fangen nicht bekommen, Ausnahme bad-Anmeldeinformationen.

    InformationsquelleAutor Yogesh Devgun

Schreibe einen Kommentar