如何定义我的自定义 UserDetailsService bean 的方式使我的 spring mvc Web 应用程序能够使用我的底层 MySQL 数据库来检查用户和密码的身份验证?
具体内容如下:
我正在向 spring petclinic 添加安全性示例作为学习 Spring Security 的一种方式。我正在使用Java配置,并设置了SecurityConfig.java扩展 WebSecurityConfigurerAdapter 的文件。我正在尝试设置JdbcAuthentication以利用 ClinicService 管理的 MySQL 数据库的方式宠物诊所示例中内置的工具。因此我创建了一个CustomUserDetailsService扩展类UserDetailsService ,其目的是链接 SecurityConfig.java与 ClinicService.java 。我创建了一个User类和a Role类来建模 users和roles分别在MySQL数据库中的表。
然后我将以下行添加到 business-config.xml定义CustomUserDetailService :
<bean class="org.springframework.samples.petclinic.service.CustomUserDetailsService"></bean>
但是我仍然收到以下错误,指出 CustomUserDetailService 的 bean尚未定义:
Caused by: java.lang.IllegalArgumentException: Can not set
org.springframework.samples.petclinic.service.CustomUserDetailsService field
org.springframework.security.samples.petclinic.config.SecurityConfig.myCustomUserDetailsService
to $Proxy61
为了保持这篇文章的简洁,我已将相关备份 Material 加载到文件共享站点。您可以通过单击以下链接来阅读所有源代码和完整的堆栈跟踪:
您可以阅读SecurityConfig.java by clicking on this link .
代码 business-config.xml是 at this link .
代码 CustomUserDetailService.java是 at this link .
代码为User实体是at this link .
代码为Role实体是at this link .
完整的堆栈跟踪可以读取 at this link 。
该应用程序的所有其他代码都可以在 Spring petclinic 示例的 github 页面上找到,您可以阅读 by clicking on this link .
最佳答案
为了总结评论,这就是答案。
这里有几个问题:
1) 当在 Spring 中混合 XML 配置和 Java 配置时,在 xml 配置文件中导入 java 配置,<context:annotation-config/>需要出现在 xml 文件中,并且 java 配置类需要声明为 bean。 <context:annotation-config/>将启用声明的 bean 的注释处理,然后将处理 @Configuration 注释。阅读文档了解更多信息:http://docs.spring.io/spring/docs/3.2.x/spring-framework-reference/html/beans.html#beans-java-combining
要解决问题,请插入 <context:annotation-config/>在business-config.xml中。 <context:annotation-config/> <bean class="org.springframework.security.samples.petclinic.config.SecurityConfig"></bean> 需要为了工作,它们需要在同一个 bean 配置文件中声明。
2) 您正在 SpringConfig 中 Autowiring 具体类 (CustomUserDetailsSerivce),而不是接口(interface) (UserDetailsService)。虽然可以使用 Spring Autowiring 具体类,但通常最好 Autowiring 到接口(interface)(Spring 会将 concreate CustomUserDetailsSerivce 实现 Autowiring 到 @Autowired UserDetailsService 字段)。 Spring 围绕连线类创建代理以启用某些功能(例如声明性事务),并且此类代理在 Autowiring 时可以轻松实现接口(interface),但如果尝试 Autowiring 到具体类,则可能会失败。不过,实现这一目标是可能的 - 更多信息请参见: Spring Autowiring class vs. interface? 在这种情况下,自动连接到 UserDetailsService 接口(interface)绝对是更好的选择,因为这是我们的安全配置实际上所依赖的。
要解决此问题,请在 SpringConfig 中将字段类型指定为 UserDetailsService:
//Use UseDetailsService interface as field type instead of concrete class CustomUserDao
@Autowired
private UserDetailsService myCustomUserDetailsService;
3) 您似乎正在使用自定义用户详细信息服务设置 jdbc 身份验证和身份验证。如果您希望 Spring Security 使用 jdbc 查询数据库并查找现有用户及其角色等,则通常使用 Spring JDBC 身份验证...如果您想实现用户/角色等的查询...则使用自定义 UserDetailsSerivce...您自己。在您的示例中(因为您提供了自定义 UserDetailsService ,它将使用 ClinicService 查询后端),您不需要 JDBC 身份验证。
这是一个工作 spring 安全配置的示例,它通过 java 配置使用自定义 UserDetailsService (在其他地方实现并由 spring Autowiring ):
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/petclinic/")
.usernameParameter("j_username") // default is username
.passwordParameter("j_password") // default is password
.loginProcessingUrl("/j_spring_security_check") // default is /login with an HTTP post
.failureUrl("/login")
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/index.jsp")
.and()
.authorizeRequests()
.antMatchers("/**").hasRole("ROLE_ADMIN")
.antMatchers("/j_spring_security_check").permitAll()
.and()
.userDetailsService(userDetailsService);
}
}
我建议阅读实际文档,因为它描述了特定配置生成器方法的作用并提供了示例:http://docs.spring.io/spring-security/site/docs/3.2.0.RC2/apidocs/org/springframework/security/config/annotation/web/builders/HttpSecurity.html#formLogin()
编辑 1 - 添加登录表单配置和文档链接
编辑 2 - 添加了对问题 1 的更多解释)
编辑 3 - 将角色名称从“ADMIN”更改为“ROLE_ADMiN”以匹配 UserDetailsService 中的角色名称
关于java - 为自定义 userdetailsservice 定义 bean,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22750241/