java - 为自定义 userdetailsservice 定义 bean

Question

如何定义我的自定义 UserDetailsService bean 的方式使我的 spring mvc Web 应用程序能够使用我的底层 MySQL 数据库来检查用户和密码的身份验证？

具体内容如下:

我正在向 spring petclinic 添加安全性示例作为学习 Spring Security 的一种方式。我正在使用Java配置，并设置了SecurityConfig.java扩展 WebSecurityConfigurerAdapter 的文件。我正在尝试设置JdbcAuthentication以利用 ClinicService 管理的 MySQL 数据库的方式宠物诊所示例中内置的工具。因此我创建了一个CustomUserDetailsService扩展类UserDetailsService ，其目的是链接 SecurityConfig.java与 ClinicService.java 。我创建了一个User类和a Role类来建模 users和roles分别在MySQL数据库中的表。

然后我将以下行添加到 business-config.xml定义CustomUserDetailService :

<bean class="org.springframework.samples.petclinic.service.CustomUserDetailsService"></bean>

但是我仍然收到以下错误，指出 CustomUserDetailService 的 bean尚未定义:

Caused by: java.lang.IllegalArgumentException: Can not set  
org.springframework.samples.petclinic.service.CustomUserDetailsService field  
org.springframework.security.samples.petclinic.config.SecurityConfig.myCustomUserDetailsService  
to $Proxy61

为了保持这篇文章的简洁，我已将相关备份 Material 加载到文件共享站点。您可以通过单击以下链接来阅读所有源代码和完整的堆栈跟踪:

您可以阅读SecurityConfig.java by clicking on this link .
代码 business-config.xml是 at this link .
代码 CustomUserDetailService.java是 at this link .
代码为User实体是at this link .
代码为Role实体是at this link .
完整的堆栈跟踪可以读取 at this link 。

该应用程序的所有其他代码都可以在 Spring petclinic 示例的 github 页面上找到，您可以阅读 by clicking on this link .

这里是a link to the code for login.jsp 。

这里是a link to my revised business-config.xml code .

Answer 1

为了总结评论，这就是答案。

这里有几个问题:

1) 当在 Spring 中混合 XML 配置和 Java 配置时，在 xml 配置文件中导入 java 配置，<context:annotation-config/>需要出现在 xml 文件中，并且 java 配置类需要声明为 bean。 <context:annotation-config/>将启用声明的 bean 的注释处理，然后将处理 @Configuration 注释。阅读文档了解更多信息:http://docs.spring.io/spring/docs/3.2.x/spring-framework-reference/html/beans.html#beans-java-combining

要解决问题，请插入 <context:annotation-config/>在business-config.xml中。 <context:annotation-config/> <bean class="org.springframework.security.samples.petclinic.config.SecurityConfig"></bean> 需要为了工作，它们需要在同一个 bean 配置文件中声明。

2) 您正在 SpringConfig 中 Autowiring 具体类 (CustomUserDetailsS​​erivce)，而不是接口(interface) (UserDetailsS​​ervice)。虽然可以使用 Spring Autowiring 具体类，但通常最好 Autowiring 到接口(interface)(Spring 会将 concreate CustomUserDetailsS​​erivce 实现 Autowiring 到 @Autowired UserDetailsS​​ervice 字段)。 Spring 围绕连线类创建代理以启用某些功能(例如声明性事务)，并且此类代理在 Autowiring 时可以轻松实现接口(interface)，但如果尝试 Autowiring 到具体类，则可能会失败。不过，实现这一目标是可能的 - 更多信息请参见: Spring Autowiring class vs. interface?在这种情况下，自动连接到 UserDetailsS​​ervice 接口(interface)绝对是更好的选择，因为这是我们的安全配置实际上所依赖的。

要解决此问题，请在 SpringConfig 中将字段类型指定为 UserDetailsS​​ervice:

//Use UseDetailsService interface as field type instead of concrete class CustomUserDao
@Autowired
private UserDetailsService myCustomUserDetailsService;

3) 您似乎正在使用自定义用户详细信息服务设置 jdbc 身份验证和身份验证。如果您希望 Spring Security 使用 jdbc 查询数据库并查找现有用户及其角色等，则通常使用 Spring JDBC 身份验证...如果您想实现用户/角色等的查询...则使用自定义 UserDetailsS​​erivce...您自己。在您的示例中(因为您提供了自定义 UserDetailsS​​ervice ，它将使用 ClinicService 查询后端)，您不需要 JDBC 身份验证。

这是一个工作 spring 安全配置的示例，它通过 java 配置使用自定义 UserDetailsS​​ervice (在其他地方实现并由 spring Autowiring ):

@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/petclinic/")
                .usernameParameter("j_username") // default is username
                .passwordParameter("j_password") // default is password
                .loginProcessingUrl("/j_spring_security_check") // default is /login with an HTTP post 
                .failureUrl("/login")
                .permitAll()
                .and()
            .logout()
                .logoutSuccessUrl("/index.jsp")
                .and()
            .authorizeRequests()
                .antMatchers("/**").hasRole("ROLE_ADMIN")
                .antMatchers("/j_spring_security_check").permitAll()
                .and()
            .userDetailsService(userDetailsService);
    }
}

我建议阅读实际文档，因为它描述了特定配置生成器方法的作用并提供了示例:http://docs.spring.io/spring-security/site/docs/3.2.0.RC2/apidocs/org/springframework/security/config/annotation/web/builders/HttpSecurity.html#formLogin()

编辑 1 - 添加登录表单配置和文档链接

编辑 2 - 添加了对问题 1 的更多解释)

编辑 3 - 将角色名称从“ADMIN”更改为“ROLE_ADMiN”以匹配 UserDetailsS​​ervice 中的角色名称