6-SpringSecurity:数据库存储用户信息

最新推荐文章于 2024-05-13 21:42:08 发布
最新推荐文章于 2024-05-13 21:42:08 发布
阅读量731 收藏 14
点赞数 30
分类专栏: 程序员 文章标签: 数据库 java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H1897574/article/details/138415650
版权

org.springframework.boot

spring-boot-starter-test

test

实验0:官方默认的用户权限表

SpringSecurity 官方文档提供了默认的 User Schema ,比较简单,直接是用户及其权限关系,这里不作演示;

2020-12-24-ddl.png

实验1:自定义用户权限表

  • 首先看下表结构,是实际应用中相对比较通用的,共5张表,遵循了RBAC的模式:三个抽象实体(用户、角色、权限)表,两张关系表(用户-角色,角色-权限),即:

user, user-role, role, role-permission, permission

CREATE DATABASE IF NOT EXISTS spring_security ;

USE spring_security ;

CREATE TABLE IF NOT EXISTS t_user (

id bigint(20) NOT NULL COMMENT ‘用户id’,

username varchar(64) NOT NULL,

password varchar(64) NOT NULL,

realname varchar(255) NOT NULL COMMENT ‘真实姓名’,

mobile varchar(11) DEFAULT NULL COMMENT ‘手机号’,

enabled tinyint(1) DEFAULT NULL COMMENT ‘是否启用’,

accountNonExpired tinyint(1) NOT NULL DEFAULT ‘1’,

accountNonLocked tinyint(1) NOT NULL DEFAULT ‘1’,

credentialsNonExpired tinyint(1) NOT NULL DEFAULT ‘1’,

PRIMARY KEY ( id ) USING BTREE

) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC;

CREATE TABLE IF NOT EXISTS t_user_role (

user_id varchar(32) NOT NULL,

role_id varchar(32) NOT NULL,

create_time datetime DEFAULT NULL,

creator varchar(255) DEFAULT NULL,

PRIMARY KEY ( user_id , role_id )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS t_role (

id varchar(32) NOT NULL,

role_name varchar(255) DEFAULT NULL,

description varchar(255) DEFAULT NULL,

create_time datetime DEFAULT NULL,

update_time datetime DEFAULT NULL,

status tinyint(1) NOT NULL DEFAULT ‘1’,

PRIMARY KEY ( id ),

UNIQUE KEY unique_role_name ( role_name )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS t_role_permission (

role_id varchar(32) NOT NULL,

permission_id varchar(32) NOT NULL,

PRIMARY KEY ( role_id , permission_id )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE IF NOT EXISTS t_permission (

id varchar(32) NOT NULL,

code varchar(32) NOT NULL COMMENT ‘权限标识’,

description varchar(64) DEFAULT NULL COMMENT ‘描述’,

url varchar(128) DEFAULT NULL COMMENT ‘请求地址’,

PRIMARY KEY ( id )

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

  • 基本配置

server:

port: 8080

spring:

thymeleaf:

cache: false

datasource:

url: jdbc:mysql://localhost:3306/spring_security?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=UTC

username: root

password: root

driver-class-name: com.mysql.cj.jdbc.Driver

type: com.alibaba.druid.pool.DruidDataSource

  • 从以前的内存用户换为从数据库中读取用户

这里我们实现 UserDetailsService 接口,重写 loadUserByUsername(String username) 方法,基本逻辑:查询用户,及联表查询对应的权限。

@Component

public class CustomUserDetailsService implements UserDetailsService {

@Autowired

private UserMapper userMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

UserDto user = userMapper.getUserByUsername(username);

if (user != null) {

List permissions = userMapper.getPermissionsByUsername(username);

if (permissions != null) {

System.out.println(user.getUsername() + " has these permissions: " + permissions);

List authorities = new ArrayList();

permissions.stream().forEach(p -> authorities.add(new SimpleGrantedAuthority(p.getCode())));

// user.setAuthorities(Arrays.asList(new SimpleGrantedAuthority(“p1”))); // hard-coded permission

user.setAuthorities(authorities);

}

}

return user;

}

}

相关查询接口:

public interface PermissionMapper {

@Select(“SELECT * FROM t_permission”)

List getAllPermissions();

}

public interface UserMapper {

@Select(“SELECT * FROM t_user WHERE username = #{username}”)

UserDto getUserByUsername(@Param(“username”) String username);

/*

  • SELECT p.* FROM t_permission p LEFT JOIN t_role_permission rp ON p.id = rp.permission_id

LEFT JOIN t_user_role ur ON rp.role_id = ur.role_id

LEFT JOIN t_user u ON ur.user_id = u.id

WHERE u.username = “test”;

  • */

@Select(“SELECT p.* FROM t_permission p LEFT JOIN t_role_permission rp ON p.id = rp.permission_id LEFT JOIN t_user_role ur ON rp.role_id = ur.role_id LEFT JOIN t_user u ON ur.user_id = u.id WHERE u.username = #{username};”)

List getPermissionsByUsername(@Param(“username”) String username);

}

将用户数据源配置为从数据库中查询:

@Autowired

CustomUserDetailsService customUserDetailsService;

@Bean

public PasswordEncoder passwordEncoder () {

return new BCryptPasswordEncoder();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

// Method1:

// There is no PasswordEncoder mapped for the id “null”

// PasswordEncoder encoder = new BCryptPasswordEncoder();

// String yourPassword = “123”;

// System.out.println("Encoded password: " + encoder.encode(yourPassword));

// auth.userDetailsService(customUserDetailsService).passwordEncoder(encoder);

auth.userDetailsService(customUserDetailsService);

}

  • 从以前的硬编码的权限控制换为动态配置每个资源的权限

@Override

protected void configure(HttpSecurity http) throws Exception {

ExpressionUrlAuthorizationConfigurer.ExpressionInterceptUrlRegistry authorizeRequests = http

.authorizeRequests();

List permissions = permissionMapper.getAllPermissions();

for (PermissionDto permission : permissions) {

authorizeRequests.antMatchers(permission.getUrl()).hasAuthority(permission.getCode());

}

authorizeRequests

.antMatchers(“/user/**”).authenticated()

.anyRequest().permitAll() // Let other request pass

.and()

.csrf().disable() // turn off csrf, or will be 403 forbidden

.formLogin() // Support form and HTTPBasic

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
osuodk5B-1714717071591)]

[外链图片转存中…(img-YBVYD7Df-1714717071592)]

[外链图片转存中…(img-qFlYBOYQ-1714717071592)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

H1897574
关注
  • 30
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一篇文章带你搞定 Spring Security 将用户数据存储数据库
南淮北安的博客
09-15 3968
文章目录一、UserDetailService二、JdbcUserDetailsManager三、数据库支持四、测试登录 一、UserDetailService Spring Security 支持多种不同的数据源,这些不同的数据源最终都将被封装成 UserDetailsService 的实例,在微人事(https://github.com/lenve/vhr)项目中,我们是自己来创建一个类实现 UserDetailsService 接口,除了自己封装,我们也可以使用系统默认提供的 UserDetailsS
SpringSecurity 之自定义用户权限信息的存取
04-16
SpringSecurity 之自定义用户权限信息的存取,SpringSecurity教程,用户权限信息存取
SpringSecurity学习笔记之三:配置用户存储
zhoucheng05_13的博客
03-05 7656
没有用户存储的应用相当于没有用户,因为任何用户都会被拒之门外。我们所需要的是用户存储,也就是用户名、密码以及其他信息存储的地方,在进行认证决策的时候,会对其进行检索。Spring Security非常灵活,能够基于各种数据存储来认证用户。它内置了多种常见的用户存储场景,如内存、关系型数据库以及LDAP。同时,我们也可以编写并插入自定义的用户存储实现。借助Spring SecurityJava配置,
Spring Security是如何储存认证用户信息
if's Blog
03-18 1809
Spring Security是如何储存认证用户信息
jersey-jwt-springsecurity:具有JWT身份验证的REST API的示例,该示例使用Spring Boot,Spring Security,Jersey和Jackson
02-06
使用Jersey和Spring Security的具有JWT身份验证的REST API 此示例应用程序演示了如何使用以下方法执行基于令牌的身份验证: Spring Boot:用于创建独立Java应用程序的框架。 Spring Security:认证和授权框架。 ...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
数据库认证方面,SpringSecurity可以通过JDBC或内存中存储用户信息,但通常我们选择前者,因为数据库可以提供更安全和灵活的用户管理。你需要配置一个`UserDetailsService`接口的实现,该接口用于从数据库查询用户...
10-SpringSecurity 数据库DB验证.zip
09-10
总结来说,这个Spring Security数据库验证的示例展示了如何在Spring Boot应用中集成Spring Security,通过数据库验证用户身份,设置不同的访问权限,并使用安全的密码编码策略。这样的实践有助于构建安全、健壮的Web...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 中,可以使用数据库存储用户信息,并使用数据库认证来验证用户身份。为了实现数据库认证,需要在 Spring Security 配置文件中配置 authentication-manager 元素,并指定用户服务(user-service...
cas4-spring-security3-Demo:cas-server-4和spring-security-3,使用数据库登录验证的sso案例
07-06
通过数据库进行登录验证,意味着用户的身份信息存储数据库中,当用户尝试访问任何受保护的应用时,会首先被重定向到CAS Server进行身份验证,成功后无需再次登录即可访问其他已集成的子应用。 【标签】"Java"表明...
spring-security使用数据库用户认证
12-10
spring-security使用数据库用户认证
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 1045
以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
SpringSecurity登录用户数据获取
z318913的博客
07-12 2986
SpringSecurity登录用户数据获取
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider)
sadoshi的专栏
02-15 507
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
spring-Security获取存储用户信息
GDFHGFHGFH的博客
09-18 1142
spring-Security获取存储用户信息 获取spring-Security登录者信息的三种方式 public String showUsername(HttpServletRequest request){ //通过SecurityContextHolder获得当前线程上绑定的SecurityContext对象 SecurityContext context = SecurityContextHolder.getContext(); //也可以通过session获得SecurityConte
spring security 使用数据库数据进行认证:
qq_44181029的博客
08-31 164
spring security 使用数据库数据进行认证: 提示:security更新后还需要添加加密方式: 参考: springboot+security 的BCryptPasswordEncoder 使用 SpringBoot Security:Encoded password does not look like BCrypt 解决 以及其狂神的视频,还有其他博主。 主要代码: 实体类:我这边用的是lombok, 不用记得加上 set,get 方法,无参构造。 里面主要得有两个字段:账号,密码,我这
SpringSecurity6集成数据库
路漫漫其修远兮,吾将上下而求索
05-13 1069
SpringSecurity第二讲,集成数据库、了解认证流程和主流几种授权模式、用户信息的常见几种携带方式
Spring Security--获取登录成功的用户信息
a2285786446的博客
06-13 1498
在用户登录成功后,自动将用户信息存入到SecurityContextHolder中。3.下一个请求来的时候,还是会经过SecurityContextPersistenceFilter 过滤器,,此时系统还是会从Httpsession 中读取出登录成功的用户信息,并将之存入SecurityContextHolder 中。2.在登录请求处理完毕后,响应数据给前端时,也会经过SecurityContextPersistenceFilter 过滤器,此时,会将用户信息存入Httpsession中。
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 4798
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值