使用 Spring 安全性實現 UserDetail 和 UserDetailService 的自定義用戶、角色、權限
[英]Custom User, roles, permissions implementing UserDetail and UserDetailService with Spring Security
問題描述
我希望使用 Spring 安全性 w/MySql 來存儲用戶、角色、權限(權限)。 我做了以下事情:
ApplicationUser(id、firstName、lastName、username、password、 roles )
ApplicationRole (id, name, description, permissions ) 實現 GrantedAuthority
ApplicationPermission (id, name, description) 實現 GrantedAuthority
我創建了一個實現 UserDetailService 的 class。 在 loadUserByUsername 方法中,我執行以下操作:
ApplicationUser applicationUser = userRepository.findByUsername(username);
if(applicationUser == null) {
throw new UsernameNotFoundException(username);
}
// Extract role/role permission grantedAuthorities from db user
List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
for (Role role: applicationUser.getRoles()) {
grantedAuthorities.add(role);
grantedAuthorities.addAll(role.getPermissions());
}
return new User(applicationUser.getUsername(), applicationUser.getPassword(), grantedAuthorities);
然而,這仍然讓我有點困惑,這里有一些我的問題......
- 是否有必要在我的 ApplicationRole 和 ApplicationPermission class 上實現 GrantedAuthority。 在我見過的許多例子中,我沒有看到其他人這樣做,但它似乎讓我的生活更輕松,所以我可以得到它們並按原樣傳遞它們。
- 我沒有用我的 ApplicationUser class 實現 UserDetails。 如果我這樣做,目的是什么? 是我能夠自定義 getAuthorities、isAccountNonExpired、isAccountNonLocked、isCredentialsNonExpired、isEnabled 方法的唯一原因嗎? 是否有這些方法的默認實現,或者只有我創建我的版本。 如果我已經在 UserDetailsServiceImpl 中使用 loadbyUserName 來實現 getAuthorities,為什么還需要在這里實現呢?
- SimpleGrantedAuthority 的目的是什么? 我看到它實現了 GrantedAuthority 並且只接受一個字符串名稱。 但是,我覺得我不需要使用它,因為我使用我的 ApplicationRole 和 ApplicationPermission 類實現了 GrantedAuthority。
我認為我的問題是我對何時/如何正確實施 UserDetail 和 UserDetailService 感到困惑,以確保我從數據庫中加載權限並在每次用戶登錄時設置它們。此外,使用 GrantedAuthority 實施是否有任何意義我的 ApplicationRole 和 ApplicationPermission class 我是這樣的嗎?
1 個解決方案
解決方案1
1 已采納 2020-06-24 13:53:06
這不是必需的,我也不推薦它。 最好將應用程序的這些不同方面分開。 據我所知,在您的自定義
UserDetailsServiceervice 中獲取角色並將其文本表示形式包裝在SimpleGrantedAuthority(即他們的名稱)中是一種常見的做法。 請注意,為了區分 Spring Security 中的角色和權限,您必須在默認情況下為角色添加ROLE_標記(請參閱hasRole和hasAuthority訪問控制表達式)。擁有自定義
UserDetails實現不是必需的,但可能有好處,例如,您可以存儲特定於您的應用程序的額外字段。 默認實現是org.springframework.security.core.userdetails.User,大多數時候你可以擴展這個。見#1
以我的方式使用我的 ApplicationRole 和 ApplicationPermission class 實現 GrantedAuthority 有什么意義嗎?
這沒有任何意義,不。 現有實現涵蓋了許多用例,但對於最簡單的用例,您可以堅持使用SimpleGrantedAuthority 。
無法使用帶有自定義 UserDetail 和 AuthenticationProvider 的 Spring Security 防止用戶多次登錄
[英]Unable to prevent user from login multiple time using spring security with custom UserDetail and AuthenticationProvider
Spring Security無法使用userDetailService和passwordEncoder登錄
[英]Spring Security unable to log using userDetailService and passwordEncoder
在Spring Boot中授予或限制通過Spring Security中的角色進行路由的權限
[英]Grant or restrict permissions to routes through roles in Spring Security in Spring Boot
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
實現Spring Security的Custom UserDetailService
如何在Spring Security中創建自定義UserDetail對象
無法使用帶有自定義 UserDetail 和 AuthenticationProvider 的 Spring Security 防止用戶多次登錄
Spring安全角色和權限
具有角色和權限的 Spring Security
Spring Security無法使用userDetailService和passwordEncoder登錄
spring-security解耦角色和權限
在Spring Security中實現自定義身份驗證
在Spring Boot中授予或限制通過Spring Security中的角色進行路由的權限
Spring Security - 如何動態更改用戶角色?
相關標簽