Comment implémenter une authentification personnalisée dans Spring Security 3?

Je sais que cela a été répondu de nombreuses fois, mais je suis confus. J'ai déjà un mécanisme d'Authentification dans mon application et je veux juste utiliser la partie autorisation de Spring MVC. Je suis à l'aide de Spring MVC 3 et le Printemps de Sécurité 3.

Quand je fais une recherche sur internet, j'ai trouvé deux solutions, la première est de mettre en œuvre AuthenticationProvider interface. Exemple1. Le second est de mettre en œuvre UserDetails et UserDetailsService, Exemple2 donc je suis perdu ici.

----Mise à jour----

La deuxième partie de la Question est ici. Et la solution à la solution de contournement.

source d'informationauteur

  1. 37

    Dans la plupart des cas, vous n'utilisez que les noms d'utilisateur et mots de passe pour les authentifications et les rôles de l'autorisation, la mise en œuvre de votre propre UserDetailsService est assez.

    Le flux du nom d'utilisateur mot de passe d'authentification est alors généralement comme suit:

    • Un ressort filtre de sécurité (authentification de base/forme/..) prend le nom d'utilisateur et le mot de passe, il devient un UsernamePasswordAuthentication objet et les transmet à la AuthenticationManager
    • Le gestionnaire d'authentification recherche un candidat fournisseur qui peut gérer UsernamePasswordtokens, qui dans ce cas est la DaoAuthenticationProvider et passe le jeton pour l'authentification
    • Le fournisseur d'authentification appelle la méthode loadUserByUsername interface et jette un UsernameNotFound exception si l'utilisateur n'est pas présent ou retourne un UserDetails objet, qui contient un nom d'utilisateur, mot de passe et les autorités.
    • Le fournisseur d'Authentification, puis compare les mots de passe de la condition UsernamePasswordToken et UserDetails objet. (il peut également gérer des mots de passe via PasswordEncoders) Si elle ne correspond pas à l'authentification échoue. Si elle correspond à ce qu'il enregistre les détails de l'utilisateur de l'objet et les transmet à la AccessDecisionManager, qui effectue l'Autorisation de la partie.

    Donc, si la vérification dans le DaoAuthenticationProvider convient à vos besoins. Ensuite, vous n'aurez qu'à mettre en place votre propre UserDetailsService et d'améliorer la vérification de la DaoAuthenticationProvider.

    Un exemple pour le UserDetailsService à l'aide de printemps 3.1 est comme suit:

    Printemps XML:

    <security:authentication-manager>
     <security:authentication-provider user-service-ref="myUserDetailsService" />
</security:authentication-manager>

<bean name="myUserDetailsService" class="x.y.MyUserDetailsService" />

    UserDetailsService Mise En Œuvre:

    public MyUserDetailsService implements UserDetailsService {

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    //Retrieve the user from wherever you store it, e.g. a database 
    MyUserClass user = ...; 
    if (user == null) {
        throw new UsernameNotFoundException("Invalid username/password.");
    }
    Collection<? extends GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("Role1","role2","role3");
    return new User(user.getUsername(), user.getPassword(), authorities);
}

}