Spring Security(学习笔记)--用户定义(Jdbc与MyBatis)!

最新推荐文章于 2024-05-29 20:34:37 发布
最新推荐文章于 2024-05-29 20:34:37 发布
阅读量768 收藏 20
点赞数 24
分类专栏: Spring Security 文章标签: spring 学习 笔记 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TONGZHOUGONGDU/article/details/138048770
版权

重点标识

通过Jdbc整合Spring Security
通过MyBatis整合Spring Security

Jdbc

创建一个Spring boot工程,如下:

在这里插入图片描述

UserDetailsService 提供用户,主要就是这个:

在这里插入图片描述

这个案例,我准备用Jdbc搞一下,我们看一下Jdbc里面的
在这里插入图片描述

我们可以看到,这里面已经定义好了sql,甚至表名也已经给我们定义好了,我们只需要按照他的要求建表就行了,实际上这几张表都非常简单,完全可以分析出来他都有哪些字段,以及字段类型,但是,如果不想分析,Security也提供了相应的ddl文件,在core里面,路径如下:

在这里插入图片描述
如果你使用的是和我一样的版本,可以直接用如下sql:

create table users(username varchar(50) not null primary key,password varchar(500) not null,enabled boolean not null);
create table authorities (username varchar(50) not null,authority varchar(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

好了,我们现在来看JdbcUserDetailsManager,基于Jdbc来做,首先,配置注入一个JdbcUserDetailsManager,注意,这里JdbcTemplate 可以自动注入,因为这次我们使用的是Spring Boot项目,在properties中配置好数据库的连接地址,用户名,密码后,Spring Boot会自动帮我们注入到容器中。


spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.url=jdbc:mysql:///security_jdbc

这里配置两个用户,作为初始化用户。

    @Bean
    JdbcUserDetailsManager jdbcUserDetailsManager(JdbcTemplate jdbcTemplate){
        JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager();
        jdbcUserDetailsManager.setJdbcTemplate(jdbcTemplate);
        jdbcUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").roles("admin").build());
        jdbcUserDetailsManager.createUser(User.withUsername("user").password("{noop}123").roles("user").build());

        return jdbcUserDetailsManager;

    }

在之前Spring分析中,有说过自动化配置,实际上,看这里, new JdbcTemplate(dataSource); Spring Boot已经帮我们自动注入到Spring容器中了,按照它的规范,就不需要我们再自己配置了。



@Configuration(
    proxyBeanMethods = false
)
@ConditionalOnMissingBean({JdbcOperations.class})
class JdbcTemplateConfiguration {
    JdbcTemplateConfiguration() {
    }

    @Bean
    @Primary
    JdbcTemplate jdbcTemplate(DataSource dataSource, JdbcProperties properties) {
        JdbcTemplate jdbcTemplate = new JdbcTemplate(dataSource);
        JdbcProperties.Template template = properties.getTemplate();
        jdbcTemplate.setFetchSize(template.getFetchSize());
        jdbcTemplate.setMaxRows(template.getMaxRows());
        if (template.getQueryTimeout() != null) {
            jdbcTemplate.setQueryTimeout((int)template.getQueryTimeout().getSeconds());
        }

        return jdbcTemplate;
    }
}

但是这样写,还有一个问题,首次启动是没有问题,但是如果再次启动,就会报错,因为每次启动项目,相当于都是往数据库插入一条同样的数据,这样肯定是不行的。

稍微修改一下,这样就ok了。

@Bean
    JdbcUserDetailsManager jdbcUserDetailsManager(JdbcTemplate jdbcTemplate){
        JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager();
        jdbcUserDetailsManager.setJdbcTemplate(jdbcTemplate);
        if(!jdbcUserDetailsManager.userExists("admin")){
            jdbcUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").roles("admin").build());

        }

        if(!jdbcUserDetailsManager.userExists("user")){
            jdbcUserDetailsManager.createUser(User.withUsername("user").password("{noop}123").roles("user").build());

        }

        return jdbcUserDetailsManager;

    }

MyBatis

UserDetails 制定了规范,由我们来实现。

创建一个Spring Boot项目,引入依赖如下:

 <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>3.0.3</version>
        </dependency>

        <dependency>
            <groupId>com.mysql</groupId>
            <artifactId>mysql-connector-j</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter-test</artifactId>
            <version>3.0.3</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

新建User类,以及相关service,Dao,如下:

User类


public class User implements UserDetails {

    private Integer id;
    private String username;

    private String password;
    private Boolean enabled;

    private Boolean accountNonExpired;
    private Boolean accountNonLocked;
    private Boolean credentialsNonExpired;


    //get与is是重复的,反射会报错,所以删掉


    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }




    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }


    public void setAccountNonExpired(Boolean accountNonExpired) {
        this.accountNonExpired = accountNonExpired;
    }



    public void setAccountNonLocked(Boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }


    public void setCredentialsNonExpired(Boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    /**
     * 返回用户的权限/角色
     * 角色也可以从这里获取
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    /**
     * 获取用户的密码
     * @return
     */
    @Override
    public String getPassword() {
        return password;
    }

    /**
     * 获取用户名
     * @return
     */
    @Override
    public String getUsername() {
        return username;
    }

    /**
     * 账户是否没有过期
     * @return
     */
    @Override
    public boolean isAccountNonExpired() {
        return accountNonExpired;
    }

    /**
     * 账户是否没有被锁定
     * @return
     */
    @Override
    public boolean isAccountNonLocked() {
        return accountNonLocked;
    }

    /**
     * 密码是否没有过期
     * @return
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    /**
     * 账户是否被锁定
     * @return
     */

    @Override
    public boolean isEnabled() {
        return enabled;
    }
}

UserService类


@Service
public class UserService implements UserDetailsService {


    @Autowired
    UserMapper userMapper;

    /**
     * 当用户登录的时候,会自动触发到这里,去数据库查询
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User u = userMapper.loadUserByUsername(username);
        if(u == null){
            throw new UsernameNotFoundException("用户名不存在!");
        }
        return u;
    }
}

UserDao类

@Mapper
public interface UserMapper {

    User loadUserByUsername(String username);
}

xml文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.tongzhou.srcurity_mybatis.mapper.UserMapper">

      <select id="loadUserByUsername" resultType="org.tongzhou.srcurity_mybatis.model.User">

      SELECT * FROM USER WHERE USERNAME=#{username}
      </select>

</mapper>

我这里是放到了resources下面,所以需要在properties配置一下,顺带着把数据库也配置一下。

mybatis.mapper-locations=classpath*:/mapper/*.xml

spring.datasource.url=jdbc:mysql:///security_mybatis
spring.datasource.username=root
spring.datasource.password=123456

数据库这里我建立了三张表,user role,user_role,

role表


SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for role
-- ----------------------------
DROP TABLE IF EXISTS `role`;
CREATE TABLE `role`  (
  `id` int(0) NOT NULL,
  `name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `nameZh` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role
-- ----------------------------
INSERT INTO `role` VALUES (1, 'ROLE_dba', '数据库管理员');
INSERT INTO `role` VALUES (2, 'ROLE_admin', '系统管理员');
INSERT INTO `role` VALUES (3, 'ROLE_user', '用户');

SET FOREIGN_KEY_CHECKS = 1;

user表


SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for user
-- ----------------------------
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user`  (
  `id` int(0) NULL DEFAULT NULL,
  `username` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `enabled` tinyint(1) NULL DEFAULT NULL,
  `accountNonExpired` tinyint(1) NULL DEFAULT NULL,
  `accountNonLocked` tinyint(1) NULL DEFAULT NULL,
  `credentialsNonExpired` tinyint(1) NULL DEFAULT NULL
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user
-- ----------------------------
INSERT INTO `user` VALUES (1, 'admin', '{noop}123', 1, 1, 1, 1);
INSERT INTO `user` VALUES (2, 'zhangsan', '{noop}123', 1, 1, 1, 1);
INSERT INTO `user` VALUES (3, 'lisi', '{noop}123', 1, 1, 1, 1);

SET FOREIGN_KEY_CHECKS = 1;

user_role关联表


SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for user_role
-- ----------------------------
DROP TABLE IF EXISTS `user_role`;
CREATE TABLE `user_role`  (
  `id` int(0) NOT NULL,
  `uid` int(0) NULL DEFAULT NULL,
  `rid` int(0) NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user_role
-- ----------------------------
INSERT INTO `user_role` VALUES (1, 1, 1);
INSERT INTO `user_role` VALUES (2, 1, 2);
INSERT INTO `user_role` VALUES (3, 2, 2);
INSERT INTO `user_role` VALUES (4, 3, 3);

SET FOREIGN_KEY_CHECKS = 1;

如此,便可大功告成,登录了。

这里还有一点要记录下,我们知道,在service里面,抛出了一个用户找不到异常,实际上,为了避免外界的攻击,一般不会给到很明确的回复,比如说,直接给一个登陆失败或者,账户或密码错误。

这一点,Spring Security也替我们考虑到了。

在这里插入图片描述
这是怎么回事呢,我们可以打个断点,进入到源码里面瞅一瞅:

在这里插入图片描述
接着往下走,就会走到下面这部分,有一个hideUserNotFoundExceptions,也就是说,会将“用户找不到”这个异常直接隐藏掉,这样就完美帮助我们解决掉了可能因为提示而导致的漏洞问题了。
在这里插入图片描述
至于说,错误提示中文这部分,就是国际化了,有兴趣的可以点进去看看:

在这里插入图片描述

结语

努力,终点就在前方!

同舟共度
关注
  • 24
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot核心技术-笔记
12-05
12. **安全控制**:Spring Boot集成了Spring Security,提供了一套安全解决方案,包括用户认证、授权等。通过`@EnableWebSecurity`和`@ConfigurationProperties`,我们可以自定义安全设置。 以上仅是Spring Boot...
Spring学习笔记+学习源码.zip
05-12
这份"Spring学习笔记+学习源码.zip"资源包含了深入学习Spring及其相关技术的知识点,以及实践代码,对提升Spring技能将大有裨益。 首先,我们来详细讨论Spring框架的主要组件和功能: 1. **依赖注入(Dependency ...
创建一个新的Spring Security应用程序,并使用JDBC连接数据库
最新发布
喵喵分享师
05-29 335
在这个教程中,我们将学习如何创建一个新的Spring Security应用程序,使用JDBC连接数据库以获取用户信息并进行认证。我们还将学习如何配置Spring Security以从数据库中获取用户和权限信息,并使其与不同的模式和数据源一起工作。
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
qq_42264638的博客
05-06 1963
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
Spring Security:探索 JDBC 身份验证
allway2的博客
10-27 714
这适用于这个简单的场景,但是如果我们要自定义数据库架构,或者即使我们想要使用不同的数据库供应商,它也有一些缺点。我们甚至包括一个使用PostgreSQL的示例,我们在本教程中没有显示该示例,只是为了保持简单。正如我们接下来将看到的,为了实现这一点,我们需要避免使用默认架构并提供自己的架构。这实际上是有道理的;让我们启动我们的应用程序。它正确初始化,这是有道理的,因为我们的架构是正确的。在这个简短的教程中,我们将探讨 Spring 提供的使用现有。我们强烈建议看看这篇文章,如果我们想了解事情是如何运作的。
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
热门推荐
小威的博客
04-18 1万+
Spring Security 的过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
Spring Boot Security使用 JDBC 和 MySQL 进行 RBAC,自定义登录验证,登录界面增加kaptcha验证码
allway2的博客
11-04 667
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从本教程中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下: 2. 配置数据源属性 接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。 要
Spring Boot核心技术-笔记-pdf版.pdf
11-01
**Spring Boot核心技术详解** Spring Boot是由Pivotal团队提供的全新框架,其设计目标是为了简化Spring应用的...希望这份学习笔记能帮助你深入理解和掌握Spring Boot的精髓,祝你在Spring Boot学习之路上一帆风顺!
Spring Boot学习笔记
03-21
总结,Spring Boot学习笔记涵盖了Thymeleaf模板引擎的使用,如何实现国际化,以及如何将MyBatisJDBC整合到Spring Boot应用中,这些都是在构建现代Java后端应用时不可或缺的技术。通过深入理解并掌握这些知识点,...
HelloSpringSpring学习笔记-2020年8月6日10点10分
02-18
2. **数据访问/集成**:提供对各种数据库的访问支持,包括JDBC、ORM(对象关系映射)如Hibernate和MyBatis,以及OXM(对象XML映射)。 3. **Web模块**:支持基于MVC模式的Web开发,包括Spring MVC和Spring WebFlux...
spring-security-jdbc
04-27
NULL 博文链接:https://sunbin.iteye.com/blog/2393478
SpringSecurity使用JDBC认证
weixin_51251559的博客
04-03 613
springsecruty权限验证,使用JDBC,auth.jdbcAuthentication()认证
springsecurity配合jdbc使用
Mr.xu的博客
05-16 3699
springsecurity ​ 这是一个安全框架,通过授予用户特定的访问权限,访问特定的资源,这里结合jdbc从中获取权限验证 使用技术:thymeleaf+sercurity+springBoot+Mybatis-plus+mysql+Durid数据链接池 注意:在刚刚导入依赖时候,直接启动项目,访问login页面,是security自带的,可以试试,账户是user,密码在控制台随机生成的密码! 1.导入依赖 <dependencies> <dependency&gt
2021-12-10SpringSecurity安全框架(一)基于内存中的用户信息,基于JDBC用户认证
weixin_48400115的博客
12-10 787
基于内存中的用户信息: 继承类,重写方法,来实现自定义认证信息 @Configuration //相当于配置类,返回值是Java对象,对象放到spring容器之中 @EnableWebSecurity//表示启用安全框架功能 java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" 5版本要求必须加密! 基于角色的Role的身份认证,同一个用户可以有不同的角色。同时可以开启对
SpringSecurity学习(三)JDBC用户存储,注销登录
周帅傅
06-09 251
JDBC用户存储 依赖 <!--数据库连接--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <dependency> <groupId>mysql</groupId>
Spring Boot securityjdbc数据库配置
kogila的博客
07-07 192
1、定义bean @Bean @ConfigurationProperties(prefix = "spring.datasource") public DataSource primaryDataSource() { return DataSourceBuilder.create().build(); } 2、自动装配bean @Au
SpringSecurity(二十一)--OAuth2:实现资源服务器(中)实现带有JdbcTokenStore的黑板模式
学习不止境的博客
12-02 1331
本章将实现授权服务器和资源服务器使用共享数据库的应用程序。这一架构方式被称为。这一架构方式被称为黑板模式。为什么叫黑板模式呢?因为可以将其视为使用黑板管理令牌的授权服务器和资源服务器。。但是,这意味着,而这可能会成为瓶颈。与任何架构一样,实际上它适用于各种情况。例如,如果各服务已经共享了一个数据库,那么对访问令牌也使用这种方法可能也是合理的。出于这个原因,了解如何实现这个方法对你来说可能是很重要的。并且学习该章的前提需要把前面的授权,资源服务器的搭建先给整完,否则会很懵,不知道这块儿代码哪来的这种情况。
Spring Security最简单全面教程(带Demo)
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 4550
一、Spring Security简介 Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。 Spring Security主要是从两个方面解决安全性问题: web请求级别:使用Servlet规范中的过滤器(Filter)保护Web请求并限制URL级别的访问。 方法调用级别:使
mybatis-spring-boot-starter 和spring-boot-starter-jdbc
09-13
mybatis-spring-boot-starter 和 spring-boot-starter-jdbc 是用于在 Spring Boot 项目中连接数据库的两个依赖包。它们有不同的功能和用途。 mybatis-spring-boot-starter 是 MyBatis 官方提供的一个 Spring Boot ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值