认证服务
这将创建一个 Spring Security ProviderManager 类的实例,该实例需要配置一个或多个 AuthenticationProvider 实例的列表。这些实例可以通过命名空间提供的语法元素创建,也可以是标准的 bean 定义,并通过 authentication-provider 元素标记以添加到列表中。
<authentication-manager>
每个使用命名空间的Spring Security应用程序都必须在某处包含此元素。它负责注册为应用程序提供认证服务的AuthenticationManager。所有创建AuthenticationProvider实例的元素都应该是此元素的子元素。
<authentication-manager> 属性
-
alias 此属性允许您为内部实例定义别名,以便在您自己的配置中使用。
-
erase-credentials 如果设置为 true,一旦用户通过身份验证,AuthenticationManager 将尝试清除返回的 Authentication 对象中的任何凭据数据。它直接映射到 ProviderManager 的
eraseCredentialsAfterAuthentication属性。 -
observation-registry-ref 对用于
FilterChain及相关组件的ObservationRegistry的引用 -
id 此属性允许您为内部实例定义一个 id,以便在您自己的配置中使用。它与 alias 元素相同,但为使用 id 属性的元素提供了更一致的体验。
<authentication-manager> 的子元素
<authentication-provider>
除非与 ref 属性配合使用,否则此元素是配置 DaoAuthenticationProvider 的简写形式。DaoAuthenticationProvider 从 UserDetailsService 加载用户信息,并将用户名/密码组合与登录时提供的值进行比较。UserDetailsService 实例可通过使用可用的命名空间元素(jdbc-user-service)或通过 user-service-ref 属性指向应用程序上下文中其他地方定义的 Bean 来定义。
<authentication-provider> 的父元素
<authentication-provider> 属性
- ref 定义对实现
AuthenticationProvider的 Spring bean 的引用。
如果你编写了自己的 AuthenticationProvider 实现(或出于某些原因希望将 Spring Security 自身的某个实现配置为传统 bean),则可以使用以下语法将其添加到 ProviderManager 的内部列表中:
<security:authentication-manager>
<security:authentication-provider ref="myAuthenticationProvider" />
</security:authentication-manager>
<bean id="myAuthenticationProvider" class="com.something.MyAuthenticationProvider"/>
- user-service-ref 对实现 UserDetailsService 的 bean 的引用,该 bean 可以使用标准 bean 元素或自定义 user-service 元素创建。
<authentication-provider> 的子元素
<jdbc-user-service>
创建基于JDBC的UserDetailsService。
<jdbc-user-service> 属性
- authorities-by-username-query 一个SQL语句,用于根据用户名查询用户被授予的权限。
默认值为
select username, authority from authorities where username = ?
-
cache-ref 定义对缓存的引用,用于 UserDetailsService。
-
data-source-ref 提供所需表格的 DataSource 的 bean ID。
-
group-authorities-by-username-query 用于根据用户名查询用户组权限的 SQL 语句。默认值为
select
g.id, g.group_name, ga.authority
from
groups g, group_members gm, group_authorities ga
where
gm.username = ? and g.id = ga.group_id and g.id = gm.group_id -
id bean 标识符,用于在上下文中其他地方引用该 bean。
-
role-prefix 一个非空字符串前缀,将添加到从持久化存储加载的角色字符串前(默认为 "ROLE_")。如果默认值非空但不需要前缀,请使用值 "none"。
-
users-by-username-query 用于根据用户名查询用户名、密码和启用状态的 SQL 语句。默认值为
select username, password, enabled from users where username = ?
<password-encoder>
认证提供器可选择性地配置为使用密码编码器,具体配置方式详见密码存储章节。这将使相应的 PasswordEncoder 实例被注入到该 Bean 中。
<password-encoder> 的父元素
<password-encoder> 属性
-
hash 定义用于用户密码的哈希算法。我们强烈建议不要使用MD4,因为它是一种非常弱的哈希算法。
-
ref 定义对实现了
PasswordEncoder的 Spring bean 的引用。
<user-service>
从属性文件或"user"子元素列表中创建一个内存中的UserDetailsService。用户名在内部会被转换为小写,以支持不区分大小写的查找,因此如果需要区分大小写,则不应使用此功能。
<user-service> 属性
-
id 一个 Bean 标识符,用于在上下文的其他地方引用该 Bean。
-
properties 一个 Properties 文件的位置,其中每行的格式为
username=password,grantedAuthority[,grantedAuthority][,enabled|disabled]
<user-service> 的子元素
<用户>
表示应用程序中的一个用户。
<user> 的父元素
<user> 属性
-
authorities 授予用户的一个或多个权限。权限之间用逗号分隔(但不要加空格)。例如:"ROLE_USER,ROLE_ADMINISTRATOR"
-
disabled 可设置为 "true" 以将账户标记为禁用且不可用。
-
locked 可设置为 "true" 以将账户标记为锁定且不可用。
-
name 分配给用户的用户名。
-
password 分配给用户的密码。如果对应的认证提供程序支持哈希,则此密码可能被哈希处理(记得设置 "user-service" 元素的 "hash" 属性)。如果数据不用于认证,仅用于访问权限,则可以省略此属性。如果省略,命名空间将生成一个随机值,以防止其意外用于认证。此属性不能为空。