认证服务

这将创建 Spring Security 的 ProviderManager 类的一个实例,需要使用一个或多个 AuthenticationProvider 实例列表进行配置。这些实例可以通过命名空间提供的语法元素创建,也可以是标准的 bean 定义,使用 authentication-provider 元素标记添加到列表中。

<authentication-manager>

每个使用命名空间的 Spring Security 应用都必须在某处包含此元素。它负责注册为应用提供认证服务的 AuthenticationManager。所有创建 AuthenticationProvider 实例的元素都应该是此元素的子元素。

<authentication-manager> 属性

  • alias 此属性允许您为内部实例定义一个别名,供您自己的配置使用。

  • erase-credentials 如果设置为 true,一旦用户通过认证,AuthenticationManager 将尝试清除返回的 Authentication 对象中的任何凭据数据。实际上,它映射到 ProviderManagereraseCredentialsAfterAuthentication 属性。

  • observation-registry-ref 指向用于 FilterChain 和相关组件的 ObservationRegistry 的引用

  • id 此属性允许您为内部实例定义一个 id,供您自己的配置使用。它与 alias 元素相同,但与使用 id 属性的元素提供了更一致的体验。

<authentication-manager> 的子元素

<authentication-provider>

除非与 ref 属性一起使用,否则此元素是配置 DaoAuthenticationProvider 的简写。DaoAuthenticationProviderUserDetailsService 加载用户信息,并将用户名/密码组合与登录时提供的值进行比较。UserDetailsService 实例可以通过使用可用的命名空间元素(jdbc-user-service)定义,或者通过使用 user-service-ref 属性指向应用上下文中其他地方定义的 bean 来定义。

<authentication-provider> 的父元素

<authentication-provider> 属性

  • ref 定义对实现 AuthenticationProvider 的 Spring bean 的引用。

如果您编写了自己的 AuthenticationProvider 实现(或者出于某种原因想将 Spring Security 自己的实现之一配置为传统 bean),那么您可以使用以下语法将其添加到 ProviderManager 的内部列表中

<security:authentication-manager>
  <security:authentication-provider ref="myAuthenticationProvider" />
</security:authentication-manager>
<bean id="myAuthenticationProvider" class="com.something.MyAuthenticationProvider"/>

  • user-service-ref 指向一个实现 UserDetailsService 的 bean 的引用,该 bean 可以使用标准的 bean 元素或自定义的 user-service 元素创建。

<authentication-provider> 的子元素

<jdbc-user-service>

创建一个基于 JDBC 的 UserDetailsService。

<jdbc-user-service> 属性

  • authorities-by-username-query 查询用户授予权限的 SQL 语句,给定用户名。

默认值是

select username, authority from authorities where username = ?

  • cache-ref 定义与 UserDetailsService 一起使用的缓存引用。

  • data-source-ref 提供所需表的 DataSource 的 bean ID。

  • group-authorities-by-username-query 查询用户组权限的 SQL 语句,给定用户名。默认值是

    select
g.id, g.group_name, ga.authority
from
groups g, group_members gm, group_authorities ga
where
gm.username = ? and g.id = ga.group_id and g.id = gm.group_id

  • id 一个 bean 标识符,用于在上下文中的其他地方引用该 bean。

  • role-prefix 一个非空字符串前缀,将添加到从持久化存储加载的角色字符串中(默认为 "ROLE_")。如果默认值非空,可以使用值 "none" 表示没有前缀。

  • users-by-username-query 查询用户名、密码和启用状态的 SQL 语句,给定用户名。默认值是

    select username, password, enabled from users where username = ?

<password-encoder>

认证提供程序可以选择配置使用密码编码器,如 密码存储 部分所述。这将导致该 bean 被注入适当的 PasswordEncoder 实例。

<password-encoder> 的父元素

<password-encoder> 属性

  • hash 定义用于用户密码的哈希算法。我们强烈建议不要使用 MD4,因为它是一种非常弱的哈希算法。

  • ref 定义对实现 PasswordEncoder 的 Spring bean 的引用。

<user-service>

从属性文件或一组 "user" 子元素创建一个内存中的 UserDetailsService。用户名在内部被转换为小写以支持不区分大小写的查找,因此如果需要区分大小写,则不应使用此功能。

<user-service> 属性

  • id 一个 bean 标识符,用于在上下文中的其他地方引用该 bean。

  • properties 属性文件的位置,每行格式为

    username=password,grantedAuthority[,grantedAuthority][,enabled|disabled]

<user-service> 的子元素

<user>

代表应用中的一个用户。

<user> 的父元素

<user> 属性

  • authorities 授予用户的一个或多个权限。使用逗号分隔权限(但不要加空格)。例如,"ROLE_USER,ROLE_ADMINISTRATOR"

  • disabled 可以设置为 "true",将账户标记为禁用且不可用。

  • locked 可以设置为 "true",将账户标记为锁定且不可用。

  • name 分配给用户的用户名。

  • password 分配给用户的密码。如果对应的认证提供程序支持哈希(请记住设置 "user-service" 元素的 "hash" 属性),则此密码可以进行哈希处理。如果数据仅用于访问权限而不用于认证,则可以省略此属性。如果省略,命名空间将生成一个随机值,防止其被意外用于认证。不能为空。