使用 Spring 安全性实现 UserDetail 和 UserDetailService 的自定义用户、角色、权限
[英]Custom User, roles, permissions implementing UserDetail and UserDetailService with Spring Security
问题描述
我希望使用 Spring 安全性 w/MySql 来存储用户、角色、权限(权限)。 我做了以下事情:
ApplicationUser(id、firstName、lastName、username、password、 roles )
ApplicationRole (id, name, description, permissions ) 实现 GrantedAuthority
ApplicationPermission (id, name, description) 实现 GrantedAuthority
我创建了一个实现 UserDetailService 的 class。 在 loadUserByUsername 方法中,我执行以下操作:
ApplicationUser applicationUser = userRepository.findByUsername(username);
if(applicationUser == null) {
throw new UsernameNotFoundException(username);
}
// Extract role/role permission grantedAuthorities from db user
List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
for (Role role: applicationUser.getRoles()) {
grantedAuthorities.add(role);
grantedAuthorities.addAll(role.getPermissions());
}
return new User(applicationUser.getUsername(), applicationUser.getPassword(), grantedAuthorities);
然而,这仍然让我有点困惑,这里有一些我的问题......
- 是否有必要在我的 ApplicationRole 和 ApplicationPermission class 上实现 GrantedAuthority。 在我见过的许多例子中,我没有看到其他人这样做,但它似乎让我的生活更轻松,所以我可以得到它们并按原样传递它们。
- 我没有用我的 ApplicationUser class 实现 UserDetails。 如果我这样做,目的是什么? 是我能够自定义 getAuthorities、isAccountNonExpired、isAccountNonLocked、isCredentialsNonExpired、isEnabled 方法的唯一原因吗? 是否有这些方法的默认实现,或者只有我创建我的版本。 如果我已经在 UserDetailsServiceImpl 中使用 loadbyUserName 来实现 getAuthorities,为什么还需要在这里实现呢?
- SimpleGrantedAuthority 的目的是什么? 我看到它实现了 GrantedAuthority 并且只接受一个字符串名称。 但是,我觉得我不需要使用它,因为我使用我的 ApplicationRole 和 ApplicationPermission 类实现了 GrantedAuthority。
我认为我的问题是我对何时/如何正确实施 UserDetail 和 UserDetailService 感到困惑,以确保我从数据库中加载权限并在每次用户登录时设置它们。此外,使用 GrantedAuthority 实施是否有任何意义我的 ApplicationRole 和 ApplicationPermission class 我是这样的吗?
1 个解决方案
解决方案1
1 已采纳 2020-06-24 13:53:06
这不是必需的,我也不推荐它。 最好将应用程序的这些不同方面分开。 据我所知,在您的自定义
UserDetailsServiceervice 中获取角色并将其文本表示形式包装在SimpleGrantedAuthority(即他们的名称)中是一种常见的做法。 请注意,为了区分 Spring Security 中的角色和权限,您必须在默认情况下为角色添加ROLE_标记(请参阅hasRole和hasAuthority访问控制表达式)。拥有自定义
UserDetails实现不是必需的,但可能有好处,例如,您可以存储特定于您的应用程序的额外字段。 默认实现是org.springframework.security.core.userdetails.User,大多数时候你可以扩展这个。见#1
以我的方式使用我的 ApplicationRole 和 ApplicationPermission class 实现 GrantedAuthority 有什么意义吗?
这没有任何意义,不。 现有实现涵盖了许多用例,但对于最简单的用例,您可以坚持使用SimpleGrantedAuthority 。
无法使用带有自定义 UserDetail 和 AuthenticationProvider 的 Spring Security 防止用户多次登录
[英]Unable to prevent user from login multiple time using spring security with custom UserDetail and AuthenticationProvider
Spring Security无法使用userDetailService和passwordEncoder登录
[英]Spring Security unable to log using userDetailService and passwordEncoder
在Spring Boot中授予或限制通过Spring Security中的角色进行路由的权限
[英]Grant or restrict permissions to routes through roles in Spring Security in Spring Boot
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
实现Spring Security的Custom UserDetailService
如何在Spring Security中创建自定义UserDetail对象
无法使用带有自定义 UserDetail 和 AuthenticationProvider 的 Spring Security 防止用户多次登录
Spring安全角色和权限
具有角色和权限的 Spring Security
Spring Security无法使用userDetailService和passwordEncoder登录
spring-security解耦角色和权限
在Spring Security中实现自定义身份验证
在Spring Boot中授予或限制通过Spring Security中的角色进行路由的权限
Spring Security - 如何动态更改用户角色?
相关标签