我正在研究 JAVA EE 技术以学习 JSF-Spring-Hibernate 与... 我正在尝试使用不同的用户角色来创建 Web 应用程序。现在,我只有一个用户角色 ROLE_USER。我无法改变那个角色。我试过 debug mod 来理解我们是如何设置这个角色的,但我不明白它发生在哪里。
所以,我的主要问题是我无法在我的应用程序中创建任何其他角色。如果我在流程中不使用
<secured attributes="ROLE_USER" />
(我使用的是spring web-flow),每个人都可以访问该页面。如果我只做 ROLE_USER。但是我想创建一个名为 ROLE_ADMIN 的新角色,并且只让 ROLE_ADMIN 访问该页面。
注意:我没有在这里添加所有文件,因为有人告诉我只添加相关的类和文件。如果您需要更多信息,请告诉我。
这是我正在关注的教程源代码。 https://code.google.com/p/jee-tutorial-youtube/source/browse/
安全配置.xml
<?xml version="1.0" encoding="UTF-8"?>
<security:http auto-config="true">
<security:form-login login-page="/app/main"
default-target-url="/app/account" />
<security:logout logout-url="/app/logout"
logout-success-url="/app/main" />
</security:http>
<security:authentication-manager>
<security:authentication-provider
user-service-ref="userServiceImp">
<security:password-encoder hash="md5" />
</security:authentication-provider>
</security:authentication-manager>
<bean id="daoAuthenticationProvider"
class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<property name="userDetailsService" ref="userServiceImp" />
<property name="hideUserNotFoundExceptions" value="false" />
</bean>
<bean id="authenticationManager"
class="org.springframework.security.authentication.ProviderManager">
<constructor-arg>
<ref bean="daoAuthenticationProvider" />
</constructor-arg>
</bean>
这是我的 UserAuthenticationProviderServiceImp 类,我在其中对用户进行身份验证。
public boolean processUserAuthentication(Users user) {
try {
Authentication request = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
Authentication result = authenticationManager.authenticate(request);
SecurityContextHolder.getContext().setAuthentication(result);
return true;
} catch(AuthenticationException e) {
FacesContext.getCurrentInstance().addMessage(null,
new FacesMessage(FacesMessage.SEVERITY_ERROR, e.getMessage(), "Sorry!"));
return false;
}
}
我发现这个函数,我的服务类,在 processUserAuthentication 中被调用。然后我认为这是设置角色的函数。
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException {
Users user = userDao.loadUserByUserName(userName);
if (user == null) {
throw new UsernameNotFoundException(String.format(
getMessageBundle().getString("badCredentials"), userName));
}
Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
authorities.add(new SimpleGrantedAuthority("USER_ROLE"));
User userDetails = new User(user.getUserName(), user.getPassword(),
authorities);
return userDetails;
}
更新:
在我的项目中,我必须使用此语法来创建角色:ROLE_X 其中 x 是任何字符串。例子;我们可以拥有 ROLE_MYNAME 但我们不能将 MYNAME 或 MYNAME_ROLE 作为角色。它必须以 ROLE_ 开头。我仍在尝试找出导致此问题的原因。如果我找到任何答案,我会更新。
编辑: 有一个详细的解释为什么我们必须在这个页面中使用ROLE_; http://bluefoot.info/howtos/spring-security-adding-a-custom-role-prefix/
现在 USER_ROLE 已硬编码在您的应用程序中。理想情况下,用户到角色的映射来自数据库中的 Authorities 表。然后可以使用数据库查询检索此映射信息,然后将其添加到权限集合中。
authorities.add(loadUserAuthorities(user.getUsername()));
protected List<GrantedAuthority> loadUserAuthorities(String username) {
List<GrantedAuthority> authorities = null;
Object[] params = { username };
authorities = authoritiesByUsernameMapping.execute(params); // Query to get Authorities
return authorities;
}