我通过扩展 AbstractUserDetailsAuthenticationProvider 创建了一个自定义身份验证提供程序,它根据数据库对用户进行身份验证并执行额外的授权检查。
我面临的烦恼是身份验证提供商要求我连接UserDetailsService。至少对于这个项目,我不需要UserDetailsService,因为如果我有身份验证提供程序来提取用户信息来执行身份验证/授权,我认为不需要UserDetailsService 来拉同一个用户构造UserDetails对象的信息。
所以,现在,我必须将一个虚拟的 UserDetailsService 连接到我的身份验证提供程序中,但它完全没有任何作用。
是否可以创建没有UserDetailsService 的身份验证提供程序?
【问题讨论】:
标签: java spring-security
查看 AbstractUserDetailsAuthenticationProvider 的代码(至少对于 3.0.5 版),它不需要连接 UserDetailsService。仔细检查您的 XML 配置以确保未使用 DAOAuthenticationProvider。
你应该有这样的块
<authentication-manager>
<authentication-provider ref="yourAuthenticationProvider" />
</authentication-manager>
另外,记录你得到的异常,看看它是从哪里抛出的。
【讨论】:
Factory method [org.springframework.security.core.userdetails.UserDetailsService org.springframework.security.config.http.UserDetailsServiceFactoryBean.cachingUserDetailsService(java.lang.String)] threw exception; nested exception is org.springframework.context.ApplicationContextException: No UserDetailsService registered.
Spring 使用的默认身份验证提供程序将是 DaoAuthenticationProvider(它扩展了 AbstractUserDetailsAuthenticationProvider 并在 doAfterPropertiesSet() 中添加了一些它自己的检查)。
因此该实现确实需要UserDetailsService,但您始终可以通过扩展AbstractUserDetailsAuthenticationProvider 来提供您自己的提供程序实现。
【讨论】: