- 浏览: 306129 次
文章分类
最新评论
-
流年末年:
那四个参数还是没看懂.....能不能解释下showPassst ...
我写的密码强度验证方法(原创) -
kingcs2008:
// 验证pws.jsshowPassstrength(&qu ...
我写的密码强度验证方法(原创) -
h957355152:
请问博主这个怎么用呢?我直接放到jsp里面调用showPass ...
我写的密码强度验证方法(原创) -
qq_15138059:
我写的全国省市县三级联动菜单,拿出来和大家分享了(原创) -
valenon:
评论呢?从MAIL FROM命令开始貌似就出错了:500 Er ...
如何发送伪造的电子邮件
实现修改密码管理
现在我们将要对基于内存的 UserDetailsService 进行简单的扩展以使其支持用户修改密码。因为这个功能对用户名和密码存于数据库的场景更有用,所以基于 o.s.s.core.userdetails.memory.InMemoryDaoImpl 扩展的实现不会关注存储机制,而是关注框架对这种方式扩展的整体流程和设计。在第四章中,我们将通过将其转移到数据库后台存储来进一步扩展我们的基本功能。
扩展基于内存的凭证存储以支持修改密码
Spring Security 框架提供的 InMemoryDaoImpl 内存凭证存储使用了一个简单的 map 来存储用户名以及关联的 UserDetails 。 InMemoryDaoImpl 使用的 UserDetails 实现类是 o.s.s.core.userdetails.User ,这个实现类将会在 Spring Security API 中还会看到。
这个扩展的设计有意的进行了简化并省略了一些重要的细节,如需要用户在修改密码前提供他们的旧密码。添加这些功能将作为练习留给读者。
用 InMemoryChangePasswordDaoImpl 扩展 InMemoryDaoImpl
我们要首先写自定义的类来扩展基本的 InMemoryDaoImpl ,并提供允许用户修改密码的方法。因为用户是不可改变的对象,所以我们 copy 已经存在的 User 对象,只是将密码替换为用户提交的值。在这里我们定义一个接口在后面的章节中将会重用,这个接口提供了修改密码功能的一个方法:
- package com.packtpub.springsecurity.security;
- // imports omitted
- public interface IChangePassword extends UserDetailsService {
- void changePassword(String username, String password);
- }
以下的代码为基于内存的用户数据存储提供了修改密码功能:
- package com.packtpub.springsecurity.security;
- public class InMemoryChangePasswordDaoImpl extends InMemoryDaoImpl
- implements IChangePassword {
- @Override
- public void changePassword(String username,
- String password) {
- // get the UserDetails
- User userDetails =
- (User) getUserMap().getUser(username);
- // create a new UserDetails with the new password
- User newUserDetails =
- new User(userDetails.getUsername(),password,
- userDetails.isEnabled(),
- userDetails.isAccountNonExpired(),
- userDetails.isCredentialsNonExpired(),
- userDetails.isAccountNonLocked(),
- userDetails.getAuthorities());
- // add to the map
- getUserMap().addUser(newUserDetails);
- }
- }
比较幸运的是,只有一点代码就能将这个简单的功能加到自定义的子类中了。我们接下来看看添加自定义 UserDetailsService 到 pet store 应用中会需要什么样的配置。
配置 Spring Security 来使用 InMemoryChangePasswordDaoImpl
现在,我们需要重新配置 Spring Security 的 XML 配置文件以使用新的 UserDetailsService 实现。这可能比我们预想的要困难一些,因为 <user-service> 元素在 Spring Security 的处理过程中有特殊的处理。需要明确声明我们的自定义 bean 并移除我们先前声明的 <user-service> 元素。我们需要把:
- < authentication-manager alias = "authenticationManager" >
- < authentication-provider >
- < user-service id = "userService" >
- < user authorities = "ROLE_USER" name = "guest" password = "guest" />
- </ user-service >
- </ authentication-provider >
- </ authentication-manager >
修改为:
在这里我们看到的 user-service-ref 属性,引用的是一个 id 为 userService 的 Spring Bean 。所以在 dogstore-base.xml Spring Beans 配置文件中,声明了如下的 bean :
- < bean id = "userService" class ="com.packtpub.springsecurity.security.
- InMemoryChangePasswordDaoImpl">
- < property name = "userProperties" >
- < props >
- < prop key = "guest" > guest,ROLE_USER </ prop >
- </ props >
- </ property >
- </ bean >
你可能会发现,这里声明用户的语法不如 <user-service> 包含的 <user> 元素更易读。遗憾的是, <user> 元素只能使用在默认的 InMemoryDaoImpl 实现类中,我们不能在自定义的 UserDetailsService 中使用了。在这里例子中,这个限制使得事情稍微复杂了一点,但是在实际中,没有人会愿意长期的将用户定义信息放在配置文件中。对于感兴趣的读者, Spring Security 3 参考文档中的 6.2 节详细描述了以逗号分隔的提供用户信息的语法。
【高效使用基于内存的 UserDetailsService 。有一个常见的场景使用基于内存的 UserDetailsService 和硬编码的用户列表,那就是编写安全组件的单元测试。编写单元测试的人员经常编码或配置最简单的场景来测试组件的功能。使用基于内存的 UserDetailsService 以及定义良好的用户和 GrantedAuthority 值为测试编写人员提供了很可控的测试环境。】
到现在,你可以重启 JBCP Pets 应用,应该没有任何的配置错误报告。我们将在这个练习的最后的两步中,完成 UI 的功能。
构建一个修改密码的页面
我们接下来将会建立一个允许用户修改密码的简单页面。
这个页面将会通过一个简单的链接添加到“
My Account
”页面。首先,我们在
/account/home.jsp
文件中添加一个链接:
- < p >
- Please find account functions below...
- </ p >
- < ul >
- < li > < a href = "changePassword.do" > Change Password </ a > </ li >
- </ ul >
接下来,在 /account/ changePassword.jsp 文件中建立“ Change Password ”页面本身:
- <? xml version = "1.0" encoding = "ISO-8859-1" ?>
- < %@ page language = "java" contentType = "text/html; charset=ISO-8859-1"
- pageEncoding = "ISO-8859-1" % >
- < jsp:include page = "../common/header.jsp" >
- < jsp:param name = "pageTitle" value = "Change Password" />
- </ jsp:include >
- < h1 > Change Password </ h1 >
- < form method = "post" >
- < label for = "password" > New Password </ label > :
- < input id = "password" name = "password" size = "20" maxlength = "50"
- type = "password" />
- < br />
- < input type = "submit" value = "Change Password" />
- </ form >
- < jsp:include page = "../common/footer.jsp" />
最后我们还要添加基于 Spring MVC 的 AccountController 来处理密码修改的请求(在前面的章节中我们没有介绍 AccountController ,它是账号信息主页的简单处理类)。
为 AccountController 添加修改密码的处理
我们需要将对自定义 UserDetailsService 的应用注入到 com.packtpub.springsecurity.web.controller.AccountController ,这样我们就能使用修改密码的功能了。 Spring 的 @Autowired 注解实现了这一功能:
两个接受请求的方法分别对应渲染 form 以及处理 POST 提交的 form 数据:
- @RequestMapping (value="/account/changePassword.
- do ",method=RequestMethod.GET)
- public void showChangePasswordPage() {
- }
- @RequestMapping (value="/account/changePassword.
- do ",method=RequestMethod.POST)
- public String submitChangePasswordPage( @RequestParam ( "password" )
- String newPassword) {
- Object principal = SecurityContextHolder.getContext().
- getAuthentication().getPrincipal();
- String username = principal.toString();
- if (principal instanceof UserDetails) {
- username = ((UserDetails)principal).getUsername();
- }
- changePasswordDao.changePassword(username, newPassword);
- SecurityContextHolder.clearContext();
- return "redirect:home.do" ;
- }
完成这些配置后,重启应用,并在站点的“ My Account ”下找到“ Change Password ”功能。
练习笔记
比较精细的读者可能意识到这个修改密码的 form 相对于现实世界的应用来说太简单了。确实,很多的修改密码实现要复杂的多,并可能包含如下的功能:
l 密码确认——通过两个文本框,确保用户输入的密码是正确的;
l 旧密码确认——通过要求用户提供要修改的旧密码,增加安全性(这对使用 remember me 功能的场景特别重要);
l 密码规则校验——检查密码的复杂性以及密码是否安全。
你可能也会注意到当你使用这个功能的时,会被自动退出。这是因为 SecurityContextHolder.clearContext() 调用导致的,它会移除用户的 SecurityContext 并要求他们重新认证。在练习中,我们需要给用户做出提示或者找到方法让用户免于再次认证。
小结
在本章中,我们更细节的了解了认证用户的生命周期并对 JBCP Pet Store 进行了结构性的修改。我们通过添加真正的登录和退出功能,进一步的满足了安全审计的要求,并提升了用户的体验。我们也学到了如下的技术:
l 配置并使用基于 Spring MVC 的自定义用户登录界面;
l 配置 Spring Security 的退出功能;
l 使用 remember me 功能;
l 通过记录 IP 地址,实现自定义的 remember me 功能;
l 实现修改密码功能;
l 自定义 UserDetailsService 和 InMemoryDaoImpl 。
在第四章中,我们将会使用基于数据库的认证信息存储并学习怎样保证数据库中的密码和其他敏感数据的安全。
发表评论
-
spring-security3 配置和使用(二)承上
2011-12-22 06:42 10642、xml配置,配置内容如下: Xml代码 ... -
spring-security3 配置和使用 (一)(转载)
2011-12-22 06:43 958最近项目中要使用到spring-security,可能研究 ... -
SpringSecurity3.X--一个简单实现(转载)
2011-12-22 06:43 2679作者对springsecurity研究不深,算是个初学者吧,最 ... -
SpringSecurity3.X--验证码(转载)
2011-12-22 06:44 1069一般来说,登录时都会要求用户输入验证码,以防止恶意登录。 可 ... -
SpringSecurity3.X--前台与后台登录认证(转载)
2011-12-23 06:33 3461不过一般我们在管理系统时都会分前台与后台,也就是说,前台与后台 ... -
SpringSecurity3.X--remember-me(转载)
2011-12-22 06:44 1749笔者在SpringSecurity中配置remember-me ... -
《Spring Security3》第六章第七部分翻译(认证事件处理与小结)
2011-12-23 06:34 1349认证事件处理 ... -
《Spring Security3》第六章第六部分翻译(Spring Security基于bean的高级配置)
2011-12-23 06:34 1059Spring Security 基于bean 的高级配 ... -
《Spring Security3》第六章第五部分翻译(手动配置Spring Security设施的bean)(转载)
2011-12-23 06:34 1032手动配置Spring Security 设施的be ... -
《Spring Security3》第六章第四部分翻译(异常处理)(转载)
2011-12-23 06:34 1248理解和配置异常处理 ... -
《Spring Security3》第六章第三部分翻译(Session的管理和并发)(转载)
2011-12-24 10:20 4232Session 的管理和并发 ... -
《Spring Security3》第六章第二部分翻译(自定义AuthenticationProvider)(转载)
2011-12-24 10:21 1527实现自定义的 AuthenticationProvide ... -
《Spring Security3》第六章第一部分翻译(自定义安全过滤器)(转载)
2011-12-24 10:21 1128第六章 高级配置和扩展 到目前为止,我 ... -
《Spring Security3》第五章第四部分翻译(方法安全的高级知识和小结)(转载)
2011-12-24 10:22 1061方法安全的高级知 ... -
《Spring Security3》第五章第三部分翻译(保护业务层)
2011-12-24 10:22 896保护业务层 到目前为止,在 ... -
《Spring Security3》第五章第二部分翻译下(实现授权精确控制的方法——页面级权限)(转载)
2011-12-25 00:47 1030使用控制器逻辑进行有条件渲染内容 ... -
《Spring Security3》第五章第二部分翻译上(实现授权精确控制的方法——页面级权限)(转载)
2011-12-25 00:47 977实现授权精确控制的方法 精确的授权指的是基于用 ... -
《Spring Security3》第五章第一部分翻译(重新思考应用功能和安全) (转载)
2011-12-25 00:47 952第五章 精确的 ... -
《Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)(转载)
2011-12-25 00:47 1270将 Remember me 功能 ... -
《Spring Security3》第四章第三部分翻译下(密码加salt)(转载)
2011-12-25 00:48 1815你是否愿意在密码上添加点salt ? 如果安 ...
相关推荐
文档的翻译者lengyun3566在博客中提到,他翻译了Spring Security3的文档,并在每篇文章的开头强调了版权信息,要求转载时必须注明出处。这表明了作者对知识产权的尊重以及对读者的责任感。 ### 第一章:Spring ...
《Spring Security3》第四章第四部分主要探讨了Remember me服务的后台存储机制以及如何结合SSL(Secure Sockets Layer)来增强应用的安全性。这一部分的知识点涵盖了Spring Security中Remember me的功能,用户身份...
自此之后,Spring Security 成为了 Spring 生态系统中的一个重要组成部分,不断迭代更新,以适应不断变化的安全需求和技术发展。 ##### 1.3 发行版本号 Spring Security 3.0.1 是在 Spring Security 3.0 的基础上...
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
### Spring Security3 相关知识点概述 #### 第一章:一个不安全应用的剖析 **安全审计** - **目的**:识别系统中的安全隐患,并评估安全措施的有效性。 - **过程**:通过模拟攻击来测试系统的安全性,分析日志记录...
第二章:springsecurity起步 第三章:增强用户体验 第四章:凭证安全存储 第五章:精确的访问控制 第六章:高级配置和扩展 第七章:访问控制列表(ACL) 第八章:对OpenID开放 第九章:LDAP目录服务 第十章:使用...
OAuth是一种授权协议,允许用户让第三方应用在不分享其密码的情况下,访问其存储在另一服务提供者的数据。OAuth 1.0a主要处理签名机制,而OAuth 2.0则简化了流程,提供了授权码、隐式、密码和客户端凭据四种授权类型...
本项目以"基于spring security + oauth2 + jwt,可优雅集成第三方登录"为主题,旨在提供一个能够无缝整合第三方登录系统的解决方案。 Spring Security是一个强大的安全框架,它为Java和Java EE应用程序提供了全面的...
在“spring security第一个项目”中,我们将探讨如何搭建一个基础的Spring Security环境,实现用户登录验证以及权限控制。 首先,我们需要理解Spring Security的基本架构。它由四个主要组件组成:Filter Security ...
在使用Spring Security的四种方法中,第三种方法是最为推荐的,因为它提供了最大的可扩展性和灵活性。通过数据库存储,可以方便地管理和维护用户、角色和权限,而自定义过滤器和接口实现则允许我们根据业务逻辑定制...
根据给定的信息,我们可以从《Spring Security3 中文版》一书中提炼出多个重要的知识点,主要涉及Spring Security的基础概念、具体实现以及高级配置等方面。下面将详细解释每一部分的关键内容。 ### 第一章:一个不...
标题:springsecurity3.1.pdf 描述:springsecurity3.1.pdf 标签:spring security3.1 部分内容:SpringSecurity Reference Documentation by Ben Alex and Luke Taylor 3.1.4.RELEASE **一、Spring Security 3.1...
OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何利用Spring Security OAuth2.0 实现这一目标。 首先,OAuth2.0 有四个核心角色...
### Spring Security3中文文档知识点概览 #### 第一章:一个不安全应用的剖析 - **安全审计**:介绍如何通过安全审计来发现系统中的安全漏洞,并解释审计的重要性。 - **关于样例应用**:本章节以JBCPPets应用为例...
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
2. **OAuth2集成**:Spring Security支持OAuth2协议,可以用于实现第三方登录(如Facebook、Google)。 3. **CSRF防护**:Spring Security提供跨站请求伪造(CSRF)防护机制,防止恶意攻击。 总的来说,Spring ...
3. **社交登录**:集成 OAuth2 或其他第三方登录服务,如 Google、Facebook,为用户提供便利。 在"TestSecurity"这个实例中,你将会看到一个简单的 Spring Security 配置和运行流程,包括登录、权限控制以及可能的...
4. OAuth2集成:Spring Security可以与OAuth2结合,实现第三方登录功能。 六、源码分析 深入理解Spring Security的源码有助于定制更复杂的解决方案。关键类如AbstractAuthenticationProcessingFilter、...
三、Spring Security 的 AuthenticationFailureHandler Spring Security 提供了一个默认的身份验证失败处理组件,但是,我们发现于默认行为不足以满足实际要求的情况是很常见的。如果是这种情况,我们可以创建自己...