Java中使用Spring-security(二)-CSDN博客

本文链接：https://blog.csdn.net/2401_83817603/article/details/137846594

…
…

... ...

我在上面的数据库属性标记的“value”中提供了占位符。您可以用实际值替换它们。

如果要通过数据访问对象层（DAO）@Service对数据库中的Users表进行身份验证，则可以按如下方式进行配置。

security:authentication-manager
<security:authentication-provider user-service-ref=“loginService”>
</security:authentication-provider>
</security:authentication-manager>

在这里，您执行SQL查询以从数据库中的“users”表中获取用户名和密码。

类似地，用户名的授权权限也从“user_roles”数据库表中获取。

在这里您可以注意到我在<security：authentication-provider>标记中提到了user-service-ref =“loginService”。

spring安全性将使用名为“loginService”的存储库服务获取身份验证。

我们可以为我们的登录服务创建数据访问对象接口和实现。

比如：我们创建一个名为“LoginDAO.java”的接口java类

package com.stiti.dao;

import com.stiti.model.AppUser;

public interface LoginDAO {

Object findUserByUsername(String username);

}

com.stiti.model.AppUser和 AppUserRole是Model类。

您可以使用自己的方式获取数据库用户和用户角色表并定义 *findUserByUsername（String username）*函数体。

*findUserByUsername（String username）*返回AppUser类型对象。

package com.stiti.dao.impl;

import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

import org.hibernate.Session;
import org.hibernate.SessionFactory;
import org.hibernate.HibernateException;

import org.springframework.stereotype.Repository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.transaction.annotation.Transactional;

import com.stiti.dao.LoginDAO;
import com.stiti.model.AppUser;
import com.stiti.model.AppUserRole;

/**

@author Stiti Samantray
*/
@Repository(“loginDao”)
@Transactional
public class LoginDAOImpl implements LoginDAO {

@Autowired
SessionFactory sessionFactory;

/**

Finds the AppUser which has a matching username
@param username
@return
*/
@Override
public AppUser findUserByUsername( String username )
{
Session session = sessionFactory.getCurrentSession();

List users = new ArrayList();
List userData = new ArrayList();
Set userRoles = new HashSet(0);

try {
String hql = “FROM AppUser U WHERE U.username = :username”;
org.hibernate.Query query = session.createQuery(hql)
.setParameter(“username”, username);
users = query.list();
} catch (HibernateException e) {
System.err.println("ERROR: "+ e.getMessage());
}

AppUser user = null;

if(users.size() > 0) {
user = (AppUser) users.get(0);

// Get the user roles
try {
String hql = “FROM AppUserRole R WHERE R.username = :username”;

org.hibernate.Query query = session.createQuery(hql)
.setParameter(“username”, username);

userRoles = new HashSet(query.list());
} catch (HibernateException e) {
// You can log the error here. Or print to console
}

user.setUserRole(userRoles);
}

return user;

}
}

findUserByUsername（String username） 返回AppUser类型对象。

package com.stiti.service;

import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Service;

import com.stiti.model.AppUser;
import com.stiti.model.AppUserRole;
import com.stiti.dao.LoginDAO;

/**

This class gets the appuser information from the database and
populates the “org.springframework.security.core.userdetails.User” type object for appuser.
@author Stiti Samantray
*/
@Service(“loginService”)
public class LoginServiceImpl implements UserDetailsService {

@Autowired
private LoginDAO loginDao;

/**

@see UserDetailsService#loadUserByUsername(String)
*/
@Override
public UserDetails loadUserByUsername( String username ) throws UsernameNotFoundException
{
AppUser user = (AppUser) loginDao.findUserByUsername(username);
List authorities = buildUserAuthority(user.getUserRole());
return buildUserForAuthentication(user, authorities);
}

private List buildUserAuthority(Set appUserRole) {
Set setAuths = new HashSet();
// Build user’s authorities
for (AppUserRole userRole : appUserRole) {
System.out.println(“****” + userRole.getUserRole());
setAuths.add(new SimpleGrantedAuthority(userRole.getUserRole()));
}
List Result = new ArrayList(setAuths);
return Result;
}

private User buildUserForAuthentication(AppUser user, List authorities) {
return new User(user.getUsername(), user.getPassword(), true, true, true, true, authorities);
}

}

##编写Spring MVC应用程序的Controller
现在我们需要编写Spring MVC应用程序的Controller。

我们需要在Controller类中为应用程序的主路径定义一个RequestMapping方法，该路径在我的示例“/”中。当用户打开应用程序URL例如“http://www.example.com/”时，执行为该请求映射定义的以下方法“loadHomePage（）”。在此方法中，它首先获得对此URL的用户身份验证和授权。

Spring-security将首先检查spring配置中的<security：intercept_url>，以查找允许访问此url路径的角色。在此示例中，它查找允许具有角色“USER”的用户访问此URL路径。如果用户有一个角色= USER，那么它将加载主页。

否则，如果它是匿名用户，则spring安全校验会将它重定向到登录页面。

package com.stiti.controller;

import java.util.HashSet;
import java.util.Set;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.ModelAttribute;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.SessionAttributes;

@Controller
@SessionAttributes(value={“accountname”}, types={String.class})
public class HomeController {

@SuppressWarnings(“unchecked”)
@RequestMapping(value=“/”, method = RequestMethod.GET)
public String executeSecurityAndLoadHomePage(ModelMap model) {

String name = null;
Set role = new HashSet();

//check if user is login
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (!(auth instanceof AnonymousAuthenticationToken)) {
// Get the user details
UserDetails userDetail = (UserDetails) auth.getPrincipal();
name = userDetail.getUsername();
role = (Set) userDetail.getAuthorities();
}

// set the model attributes
model.addAttribute(“accountname”, name);
model.addAttribute(“userRole”, role);

// go to Home page
return “Home”;

}

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。