6-SpringSecurity:数据库存储用户信息

于 2024-05-14 13:31:19 发布
阅读量1k 收藏 28
点赞数 14
分类专栏: 程序员 文章标签: 数据库 java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84048338/article/details/138851445
版权

org.springframework.boot

spring-boot-starter-test

test

实验0:官方默认的用户权限表

SpringSecurity 官方文档提供了默认的 User Schema ,比较简单,直接是用户及其权限关系,这里不作演示;

2020-12-24-ddl.png

实验1:自定义用户权限表

  • 首先看下表结构,是实际应用中相对比较通用的,共5张表,遵循了RBAC的模式:三个抽象实体(用户、角色、权限)表,两张关系表(用户-角色,角色-权限),即:

user, user-role, role, role-permission, permission

CREATE DATABASE IF NOT EXISTS spring_security ;

USE spring_security ;

CREATE TABLE IF NOT EXISTS t_user (

id bigint(20) NOT NULL COMMENT ‘用户id’,

username varchar(64) NOT NULL,

password varchar(64) NOT NULL,

realname varchar(255) NOT NULL COMMENT ‘真实姓名’,

mobile varchar(11) DEFAULT NULL COMMENT ‘手机号’,

enabled tinyint(1) DEFAULT NULL COMMENT ‘是否启用’,

accountNonExpired tinyint(1) NOT NULL DEFAULT ‘1’,

accountNonLocked tinyint(1) NOT NULL DEFAULT ‘1’,

credentialsNonExpired tinyint(1) NOT NULL DEFAULT ‘1’,

PRIMARY KEY ( id ) USING BTREE

) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

CREATE TABLE IF NOT EXISTS t_user_role (

user_id varchar(32) NOT NULL,

role_id varchar(32) NOT NULL,

create_time datetime DEFAULT NULL,

creator varchar(255) DEFAULT NULL,

PRIMARY KEY ( user_id , role_id )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS t_role (

id varchar(32) NOT NULL,

role_name varchar(255) DEFAULT NULL,

description varchar(255) DEFAULT NULL,

create_time datetime DEFAULT NULL,

update_time datetime DEFAULT NULL,

status tinyint(1) NOT NULL DEFAULT ‘1’,

PRIMARY KEY ( id ),

UNIQUE KEY unique_role_name ( role_name )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS t_role_permission (

role_id varchar(32) NOT NULL,

permission_id varchar(32) NOT NULL,

PRIMARY KEY ( role_id , permission_id )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS t_permission (

id varchar(32) NOT NULL,

code varchar(32) NOT NULL COMMENT ‘权限标识’,

description varchar(64) DEFAULT NULL COMMENT ‘描述’,

url varchar(128) DEFAULT NULL COMMENT ‘请求地址’,

PRIMARY KEY ( id )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

  • 基本配置

server:

port: 8080

spring:

thymeleaf:

cache: false

datasource:

url: jdbc:mysql://localhost:3306/spring_security?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=UTC

username: root

password: root

driver-class-name: com.mysql.cj.jdbc.Driver

type: com.alibaba.druid.pool.DruidDataSource

  • 从以前的内存用户换为从数据库中读取用户

这里我们实现 UserDetailsService 接口,重写 loadUserByUsername(String username) 方法,基本逻辑:查询用户,及联表查询对应的权限。

@Component

public class CustomUserDetailsService implements UserDetailsService {

@Autowired

private UserMapper userMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

UserDto user = userMapper.getUserByUsername(username);

if (user != null) {

List permissions = userMapper.getPermissionsByUsername(username);

if (permissions != null) {

System.out.println(user.getUsername() + " has these permissions: " + permissions);

List authorities = new ArrayList();

permissions.stream().forEach(p -> authorities.add(new SimpleGrantedAuthority(p.getCode())));

// user.setAuthorities(Arrays.asList(new SimpleGrantedAuthority(“p1”))); // hard-coded permission

user.setAuthorities(authorities);

}

}

return user;

}

}

相关查询接口:

public interface PermissionMapper {

@Select(“SELECT * FROM t_permission”)

List getAllPermissions();

}

public interface UserMapper {

@Select(“SELECT * FROM t_user WHERE username = #{username}”)

UserDto getUserByUsername(@Param(“username”) String username);

/*

  • SELECT p.* FROM t_permission p LEFT JOIN t_role_permission rp ON p.id = rp.permission_id

LEFT JOIN t_user_role ur ON rp.role_id = ur.role_id

LEFT JOIN t_user u ON ur.user_id = u.id

WHERE u.username = “test”;

  • */

@Select(“SELECT p.* FROM t_permission p LEFT JOIN t_role_permission rp ON p.id = rp.permission_id LEFT JOIN t_user_role ur ON rp.role_id = ur.role_id LEFT JOIN t_user u ON ur.user_id = u.id WHERE u.username = #{username};”)

List getPermissionsByUsername(@Param(“username”) String username);

}

将用户数据源配置为从数据库中查询:

@Autowired

CustomUserDetailsService customUserDetailsService;

@Bean

public PasswordEncoder passwordEncoder () {

return new BCryptPasswordEncoder();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

// Method1:

// There is no PasswordEncoder mapped for the id “null”

// PasswordEncoder encoder = new BCryptPasswordEncoder();

// String yourPassword = “123”;

// System.out.println("Encoded password: " + encoder.encode(yourPassword));

// auth.userDetailsService(customUserDetailsService).passwordEncoder(encoder);

auth.userDetailsService(customUserDetailsService);

}

  • 从以前的硬编码的权限控制换为动态配置每个资源的权限

@Override

protected void configure(HttpSecurity http) throws Exception {

ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry authorizeRequests = http

.authorizeRequests();

List permissions = permissionMapper.getAllPermissions();

for (PermissionDto permission : permissions) {

authorizeRequests.antMatchers(permission.getUrl()).hasAuthority(permission.getCode());

}

authorizeRequests

.antMatchers(“/user/**”).authenticated()

.anyRequest().permitAll() // Let other request pass

.and()

.csrf().disable() // turn off csrf, or will be 403 forbidden

.formLogin() // Support form and HTTPBasic

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Java开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
mg-6y0yntjW-1715664667109)]

[外链图片转存中…(img-BhXbQNEL-1715664667109)]

[外链图片转存中…(img-MNGGoVd1-1715664667110)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Java开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84048338
关注
专栏目录
一篇文章带你搞定 Spring Security用户数据存储数据库
南淮北安的博客
09-15 4093
文章目录一、UserDetailService二、JdbcUserDetailsManager三、数据库支持四、测试登录 一、UserDetailService Spring Security 支持多种不同的数据源,这些不同的数据源最终都将被封装成 UserDetailsService 的实例,在微人事(https://github.com/lenve/vhr)项目中,我们是自己来创建一个类实现 UserDetailsService 接口,除了自己封装,我们也可以使用系统默认提供的 UserDetailsS
SpringSecurity学习笔记之三:配置用户存储
zhoucheng05_13的博客
03-05 7715
没有用户存储的应用相当于没有用户,因为任何用户都会被拒之门外。我们所需要的是用户存储,也就是用户名、密码以及其他信息存储的地方,在进行认证决策的时候,会对其进行检索。Spring Security非常灵活,能够基于各种数据存储来认证用户。它内置了多种常见的用户存储场景,如内存、关系型数据库以及LDAP。同时,我们也可以编写并插入自定义的用户存储实现。借助Spring SecurityJava配置,
SpringSecurity 之自定义用户权限信息的存取
04-16
SpringSecurity 之自定义用户权限信息的存取,SpringSecurity教程,用户权限信息存取
Spring Security是如何储存认证用户信息
if's Blog
03-18 2265
Spring Security是如何储存认证用户信息
jersey-jwt-springsecurity:具有JWT身份验证的REST API的示例,该示例使用Spring Boot,Spring Security,Jersey和Jackson
02-06
使用Jersey和Spring Security的具有JWT身份验证的REST API 此示例应用程序演示了如何使用以下方法执行基于令牌的身份验证: Spring Boot:用于创建独立Java应用程序的框架。 Spring Security:认证和授权框架。 ...
Alura-SpringSecurity-Paginacao-etc:存储库,用于记录每次提交时所做的操作
04-18
标题 "Alura-SpringSecurity-Paginacao-etc" 提示我们这是一个关于Spring Security、分页(Paginacao)和其他相关技术的项目。这可能是某个在线教育平台Alura的课程项目,旨在帮助学习者理解如何在Java应用中实现...
Spring-User-Role-Security:基于Spring用户角色的项目的POC示例
03-10
5. **数据库集成**:为了存储用户信息和角色,项目可能与数据库进行交互。Spring Security支持多种数据源,如JDBC或内存中的用户详情服务。在这个示例中,可能会使用JPA或Hibernate来持久化用户和角色信息。 6. **...
10-SpringSecurity 数据库DB验证.zip
09-10
总结来说,这个Spring Security数据库验证的示例展示了如何在Spring Boot应用中集成Spring Security,通过数据库验证用户身份,设置不同的访问权限,并使用安全的密码编码策略。这样的实践有助于构建安全、健壮的Web...
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
所有和客户端都存储数据库中。 可以具有许多与之相关联的,并且可以具有与之相关联的许多,这些最后作为JWT令牌中的权限列添加。 首先,我们必须生成一个KeyStore文件。 为此,请执行以下命令: keytool -...
spring-security使用数据库用户认证
12-10
spring-security使用数据库用户认证
spring-Security获取存储用户信息
GDFHGFHGFH的博客
09-18 1167
spring-Security获取存储用户信息 获取spring-Security登录者信息的三种方式 public String showUsername(HttpServletRequest request){ //通过SecurityContextHolder获得当前线程上绑定的SecurityContext对象 SecurityContext context = SecurityContextHolder.getContext(); //也可以通过session获得SecurityConte
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 1171
以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider)
最新发布
sadoshi的专栏
02-15 621
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 5158
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息
SpringSecurity登录用户数据获取
z318913的博客
07-12 3034
SpringSecurity登录用户数据获取
Spring Security基本框架之登录数据保存
大后生大大大的博客
11-12 3059
SecurityContextHolder
Spring Security--获取登录成功的用户信息
a2285786446的博客
06-13 1563
用户登录成功后,自动将用户信息存入到SecurityContextHolder中。3.下一个请求来的时候,还是会经过SecurityContextPersistenceFilter 过滤器,,此时系统还是会从Httpsession 中读取出登录成功的用户信息,并将之存入SecurityContextHolder 中。2.在登录请求处理完毕后,响应数据给前端时,也会经过SecurityContextPersistenceFilter 过滤器,此时,会将用户信息存入Httpsession中。
Spring Security 2.0:数据库存储授权信息的迁移策略
在早期的版本中,Acegi 使用 JDBC 基于数据库的 UserDetails 服务来存储用户信息,并通过定制的 AbstractFilterInvocationDefinitionSource 来实现对 web 资源的访问控制。然而,随着 Spring Security 2.0 的发布,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值