spring security:基于MongoDB的认证

spring security对基于数据库的认证支持仅限于JDBC，而很多项目并非使用JDBC，比如Nosql数据库很多使用的是 Mongo Java Driver,这样就无法用默认的<jdbc-user-service>进行支持认证。

如果项目不是使用JDBC，没么解决办法就是：自己定义一个认证服务。

新建一个`CustomUserDetailsService`类

这个类实现了UserDetailsService接口。代码如下：

public class CustomUserDetailsService implements UserDetailsService {@AutowiredMongoDBHelper dbhelper;/* * 根据用户名加载认证用户*/@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//步骤一:从数据库中查出用户数据MongoDatabase db = dbhelper.getDB("huanle");MongoCollection<Document> users = db.getCollection("user");Document filter = new Document();filter.append("account",username);Document result = users.find(filter).first();if(result==null) throw new UsernameNotFoundException(username+"不存在");//步骤二:装配到UserDetails，相当于生成了一个<user>标签UserDetails userDetails = new User(result.getString("account"),                     result.getString("password"), true, true, true, true,getAuthorities(result.getInteger("access")) );return userDetails;}/** 根据用户级别，获得角色列表。比如用户级别为1，表示该用户是管理员，则返回ROLE_USER,ROLE_ADMIN* @param access 用户级别* @return 用户角色列表*/public Collection<GrantedAuthority> getAuthorities(int access){List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>(2);authList.add(new SimpleGrantedAuthority("ROLE_USER"));if(access==1){authList.add(new SimpleGrantedAuthority("ROLE_ADMIN"));}return authList;}}

修改spring-security.xml文件

            <http><intercept-url pattern="/user/**" access="hasRole('USER')" /><intercept-url pattern="/admin/**" access="hasRole('ADMIN')" /><form-login login-page="/login"login-processing-url="/login"authentication-failure-url="/login?error"default-target-url="/"username-parameter="phone"password-parameter="password" /><logout invalidate-session="true"logout-url="/loginout"logout-success-url="/login"/></http>  <authentication-manager><authentication-provider user-service-ref="customUserDetailsService" ></authentication-provider></authentication-manager><!-- 自定义认证服务 --><beans:bean id="customUserDetailsService" class="com.huanle.utils.security.CustomUserDetailsService"></beans:bean>

这里通过<form-login>标签定义了登录，其相关属性说明如下：

属性	说明
login-page=”/login”	登录界面的位置
login-processing-url=”/login”	登录表单post到“/login”
authentication-failure-url=”/login?error”	登录失败，重定向到“/login?error”
default-target-url=”/”	登录成功，重定向到“/”
username-parameter=”phone”	登录表单中，名为phone的参数作为认证的username
password-parameter=”password”	登录表单中，名为password的参数作为认证的password

通过<authentication-provider user-service-ref="customUserDetailsService" >使用我们自定义的认证服务

最后，看一下login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"pageEncoding="UTF-8"%>
<%@taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
<%@taglib prefix="my" uri="/WEB-INF/custom.tld" %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>用户登录</title>
</head>
<body><form:form  action="/login" method="post" commandName="login"><ul><li>手机号：<form:input id="phone" name="phone" type="text" path="phone" /></li><li>密码：<form:input id="password" name="password" type="text" path="password"/></li><li><input style=" margin-right:30px; margin-left:70px" type="submit" value="登录"/></li></ul></form:form></body>
</html>

可见，这个登录页面跟平常使用的并无区别，这都要归功于username-parameter="phone"和password-parameter="password"这两个配置。

总结

从上面的代码可见，自定义的用户认证服务CustomUserDetailsService的唯一任务就是:根据用户名从数据库获取用户数据，生成一个UserDetails实例。

这个UserDetails实例包含了用户名和密码，spring security从这个对象里获得数据库里的用户数据，和从form里提交的用户名、密码进行比对，即可认证用户。