实现修改密码管理

现在我们将要对基于内存的 UserDetailsService 进行简单的扩展以使其支持用户修改密码。因为这个功能对用户名和密码存于数据库的场景更有用,所以基于 o.s.s.core.userdetails.memory.InMemoryDaoImpl

扩展基于内存的凭证存储以支持修改密码

Spring Security 框架提供的 InMemoryDaoImpl 内存凭证存储使用了一个简单的 map 来存储用户名以及关联的 UserDetails 。 InMemoryDaoImpl 使用的 UserDetails 实现类是 o.s.s.core.userdetails.User ,这个实现类将会在 Spring Security API

 

这个扩展的设计有意的进行了简化并省略了一些重要的细节,如需要用户在修改密码前提供他们的旧密码。添加这些功能将作为练习留给读者。

InMemoryChangePasswordDaoImpl 扩展 InMemoryDaoImpl

我们要首先写自定义的类来扩展基本的 InMemoryDaoImpl ,并提供允许用户修改密码的方法。因为用户是不可改变的对象,所以我们 copy 已经存在的 User

 


spring nacos 密码_security


1. package
2. // imports omitted
3. public   interface  IChangePassword  extends
4. void
5.  }


 以下的代码为基于内存的用户数据存储提供了修改密码功能:

 


1. package
2. public   class  InMemoryChangePasswordDaoImpl  extends
3. implements
4. @Override
5. public   void
6.                  String password) {   
7. // get the UserDetails
8.      User userDetails =    
9.          (User) getUserMap().getUser(username);   
10. // create a new UserDetails with the new password
11.      User newUserDetails =    
12. new
13.          userDetails.isEnabled(),    
14.          userDetails.isAccountNonExpired(),   
15.        userDetails.isCredentialsNonExpired(),   
16.          userDetails.isAccountNonLocked(),   
17.          userDetails.getAuthorities());   
18. // add to the map
19.      getUserMap().addUser(newUserDetails);   
20.    }   
21.  }

UserDetailsService 到 pet store

Spring Security 来使用 InMemoryChangePasswordDaoImpl

现在,我们需要重新配置 Spring Security 的 XML 配置文件以使用新的 UserDetailsService 实现。这可能比我们预想的要困难一些,因为 <user-service> 元素在 Spring Security 的处理过程中有特殊的处理。需要明确声明我们的自定义 bean 并移除我们先前声明的 <user-service>

 


spring nacos 密码_security


1. < authentication-manager   alias = "authenticationManager" >
2. < authentication-provider >
3. < user-service   id = "userService" >
4. < user   authorities = "ROLE_USER"   name = "guest"   password = "guest" />
5. </ user-service >
6. </ authentication-provider >
7. </ authentication-manager >

 修改为:

 


spring nacos 密码_security



    1. < authentication-provider   user-service-ref = "userService" />


    user-service-ref 属性,引用的是一个 id 为 userService 的 Spring Bean 。所以在 dogstore-base.xml Spring Beans 配置文件中,声明了如下的 bean

     


    spring nacos 密码_security


    1. < bean   id = "userService"   class
2. >
3. < property   name = "userProperties" >
4. < props >
5. < prop   key = "guest" > guest,ROLE_USER </ prop >
6. </ props >
7. </ property >
8. </ bean >


    <user-service> 包含的 <user> 元素更易读。遗憾的是, <user> 元素只能使用在默认的 InMemoryDaoImpl 实现类中,我们不能在自定义的 UserDetailsService 中使用了。在这里例子中,这个限制使得事情稍微复杂了一点,但是在实际中,没有人会愿意长期的将用户定义信息放在配置文件中。对于感兴趣的读者, Spring Security 3 参考文档中的 6.2

    【高效使用基于内存的 UserDetailsService 。有一个常见的场景使用基于内存的 UserDetailsService 和硬编码的用户列表,那就是编写安全组件的单元测试。编写单元测试的人员经常编码或配置最简单的场景来测试组件的功能。使用基于内存的 UserDetailsService 以及定义良好的用户和 GrantedAuthority

     

    到现在,你可以重启 JBCP Pets 应用,应该没有任何的配置错误报告。我们将在这个练习的最后的两步中,完成 UI

    构建一个修改密码的页面

    我们接下来将会建立一个允许用户修改密码的简单页面。


     这个页面将会通过一个简单的链接添加到“ My Account ”页面。首先,我们在 /account/home.jsp

     


    1. < p >
2.    Please find account functions below...   
3. </ p >
4. < ul >
5. < li > < a   href = "changePassword.do" > Change Password </ a > </ li >
6. </ ul >

    /account/ changePassword.jsp 文件中建立“ Change Password

     


    spring nacos 密码_security

    1. <? xml   version = "1.0"   encoding = "ISO-8859-1"   ?>
2. < %@ page  language = "java"   contentType = "text/html; charset=ISO-8859-1"
3. pageEncoding = "ISO-8859-1" % >
4. < jsp:include   page = "../common/header.jsp" >
5. < jsp:param   name = "pageTitle"   value = "Change Password" />
6. </ jsp:include >
7. < h1 > Change Password </ h1 >
8. < form   method = "post" >
9. < label   for = "password" > New Password </ label >
10. < input   id = "password"   name = "password"   size = "20"   maxlength = "50"
11. type = "password" />
12. < br   />
13. < input   type = "submit"   value = "Change Password" />
14. </ form >
15. < jsp:include   page = "../common/footer.jsp" />

     

    最后我们还要添加基于 Spring MVC 的 AccountController 来处理密码修改的请求(在前面的章节中我们没有介绍 AccountController

    AccountController

    我们需要将对自定义 UserDetailsService 的应用注入到 com.packtpub.springsecurity.web.controller.AccountController ,这样我们就能使用修改密码的功能了。 Spring 的 @Autowired

     


    1. @Autowired
2. private


    form 以及处理 POST 提交的 form

     


    spring nacos 密码_security

    1. @RequestMapping
2. do
3. public   void
4.  }   
5. @RequestMapping
6. do
7. public  String submitChangePasswordPage( @RequestParam ( "password"
8.  String newPassword) {   
9.    Object principal = SecurityContextHolder.getContext().   
10.  getAuthentication().getPrincipal();   
11.    String username = principal.toString();   
12. if  (principal  instanceof
13.  username = ((UserDetails)principal).getUsername();   
14.  }   
15.    changePasswordDao.changePassword(username, newPassword);   
16.    SecurityContextHolder.clearContext();   
17. return   "redirect:home.do"
18.  }

    My Account ”下找到“ Change Password

    练习笔记

    比较精细的读者可能意识到这个修改密码的 form

    l  旧密码确认——通过要求用户提供要修改的旧密码,增加安全性(这对使用 remember me

     

    你可能也会注意到当你使用这个功能的时,会被自动退出。这是因为 SecurityContextHolder.clearContext() 调用导致的,它会移除用户的 SecurityContext

    小结

    在本章中,我们更细节的了解了认证用户的生命周期并对 JBCP Pet  Store

    l  配置并使用基于 Spring MVC

    l  配置 Spring Security

    l  使用 remember me

    l  通过记录 IP 地址,实现自定义的 remember me

    l  自定义 UserDetailsService 和 InMemoryDaoImpl

    在第四章中,我们将会使用基于数据库的认证信息存储并学习怎样保证数据库中的密码和其他敏感数据的安全。