Spring Security(学习笔记)--用户定义(Jdbc与MyBatis)!

最新推荐文章于 2024-05-29 20:34:37 发布
最新推荐文章于 2024-05-29 20:34:37 发布
阅读量796 收藏 20
点赞数 24
分类专栏: Spring Security 文章标签: spring 学习 笔记 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TONGZHOUGONGDU/article/details/138048770
版权

重点标识

通过Jdbc整合Spring Security
通过MyBatis整合Spring Security

Jdbc

创建一个Spring boot工程,如下:

在这里插入图片描述

UserDetailsService 提供用户,主要就是这个:

在这里插入图片描述

这个案例,我准备用Jdbc搞一下,我们看一下Jdbc里面的
在这里插入图片描述

我们可以看到,这里面已经定义好了sql,甚至表名也已经给我们定义好了,我们只需要按照他的要求建表就行了,实际上这几张表都非常简单,完全可以分析出来他都有哪些字段,以及字段类型,但是,如果不想分析,Security也提供了相应的ddl文件,在core里面,路径如下:

在这里插入图片描述
如果你使用的是和我一样的版本,可以直接用如下sql:

create table users(username varchar(50) not null primary key,password varchar(500) not null,enabled boolean not null);
create table authorities (username varchar(50) not null,authority varchar(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

好了,我们现在来看JdbcUserDetailsManager,基于Jdbc来做,首先,配置注入一个JdbcUserDetailsManager,注意,这里JdbcTemplate 可以自动注入,因为这次我们使用的是Spring Boot项目,在properties中配置好数据库的连接地址,用户名,密码后,Spring Boot会自动帮我们注入到容器中。


spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.url=jdbc:mysql:///security_jdbc

这里配置两个用户,作为初始化用户。

    @Bean
    JdbcUserDetailsManager jdbcUserDetailsManager(JdbcTemplate jdbcTemplate){
        JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager();
        jdbcUserDetailsManager.setJdbcTemplate(jdbcTemplate);
        jdbcUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").roles("admin").build());
        jdbcUserDetailsManager.createUser(User.withUsername("user").password("{noop}123").roles("user").build());

        return jdbcUserDetailsManager;

    }

在之前Spring分析中,有说过自动化配置,实际上,看这里, new JdbcTemplate(dataSource); Spring Boot已经帮我们自动注入到Spring容器中了,按照它的规范,就不需要我们再自己配置了。



@Configuration(
    proxyBeanMethods = false
)
@ConditionalOnMissingBean({JdbcOperations.class})
class JdbcTemplateConfiguration {
    JdbcTemplateConfiguration() {
    }

    @Bean
    @Primary
    JdbcTemplate jdbcTemplate(DataSource dataSource, JdbcProperties properties) {
        JdbcTemplate jdbcTemplate = new JdbcTemplate(dataSource);
        JdbcProperties.Template template = properties.getTemplate();
        jdbcTemplate.setFetchSize(template.getFetchSize());
        jdbcTemplate.setMaxRows(template.getMaxRows());
        if (template.getQueryTimeout() != null) {
            jdbcTemplate.setQueryTimeout((int)template.getQueryTimeout().getSeconds());
        }

        return jdbcTemplate;
    }
}

但是这样写,还有一个问题,首次启动是没有问题,但是如果再次启动,就会报错,因为每次启动项目,相当于都是往数据库插入一条同样的数据,这样肯定是不行的。

稍微修改一下,这样就ok了。

@Bean
    JdbcUserDetailsManager jdbcUserDetailsManager(JdbcTemplate jdbcTemplate){
        JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager();
        jdbcUserDetailsManager.setJdbcTemplate(jdbcTemplate);
        if(!jdbcUserDetailsManager.userExists("admin")){
            jdbcUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").roles("admin").build());

        }

        if(!jdbcUserDetailsManager.userExists("user")){
            jdbcUserDetailsManager.createUser(User.withUsername("user").password("{noop}123").roles("user").build());

        }

        return jdbcUserDetailsManager;

    }

MyBatis

UserDetails 制定了规范,由我们来实现。

创建一个Spring Boot项目,引入依赖如下:

 <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>3.0.3</version>
        </dependency>

        <dependency>
            <groupId>com.mysql</groupId>
            <artifactId>mysql-connector-j</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter-test</artifactId>
            <version>3.0.3</version>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

新建User类,以及相关service,Dao,如下:

User类


public class User implements UserDetails {

    private Integer id;
    private String username;

    private String password;
    private Boolean enabled;

    private Boolean accountNonExpired;
    private Boolean accountNonLocked;
    private Boolean credentialsNonExpired;


    //get与is是重复的,反射会报错,所以删掉


    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }




    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }


    public void setAccountNonExpired(Boolean accountNonExpired) {
        this.accountNonExpired = accountNonExpired;
    }



    public void setAccountNonLocked(Boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }


    public void setCredentialsNonExpired(Boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    /**
     * 返回用户的权限/角色
     * 角色也可以从这里获取
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    /**
     * 获取用户的密码
     * @return
     */
    @Override
    public String getPassword() {
        return password;
    }

    /**
     * 获取用户名
     * @return
     */
    @Override
    public String getUsername() {
        return username;
    }

    /**
     * 账户是否没有过期
     * @return
     */
    @Override
    public boolean isAccountNonExpired() {
        return accountNonExpired;
    }

    /**
     * 账户是否没有被锁定
     * @return
     */
    @Override
    public boolean isAccountNonLocked() {
        return accountNonLocked;
    }

    /**
     * 密码是否没有过期
     * @return
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    /**
     * 账户是否被锁定
     * @return
     */

    @Override
    public boolean isEnabled() {
        return enabled;
    }
}

UserService类


@Service
public class UserService implements UserDetailsService {


    @Autowired
    UserMapper userMapper;

    /**
     * 当用户登录的时候,会自动触发到这里,去数据库查询
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User u = userMapper.loadUserByUsername(username);
        if(u == null){
            throw new UsernameNotFoundException("用户名不存在!");
        }
        return u;
    }
}

UserDao类

@Mapper
public interface UserMapper {

    User loadUserByUsername(String username);
}

xml文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.tongzhou.srcurity_mybatis.mapper.UserMapper">

      <select id="loadUserByUsername" resultType="org.tongzhou.srcurity_mybatis.model.User">

      SELECT * FROM USER WHERE USERNAME=#{username}
      </select>

</mapper>

我这里是放到了resources下面,所以需要在properties配置一下,顺带着把数据库也配置一下。

mybatis.mapper-locations=classpath*:/mapper/*.xml

spring.datasource.url=jdbc:mysql:///security_mybatis
spring.datasource.username=root
spring.datasource.password=123456

数据库这里我建立了三张表,user role,user_role,

role表


SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for role
-- ----------------------------
DROP TABLE IF EXISTS `role`;
CREATE TABLE `role`  (
  `id` int(0) NOT NULL,
  `name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `nameZh` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role
-- ----------------------------
INSERT INTO `role` VALUES (1, 'ROLE_dba', '数据库管理员');
INSERT INTO `role` VALUES (2, 'ROLE_admin', '系统管理员');
INSERT INTO `role` VALUES (3, 'ROLE_user', '用户');

SET FOREIGN_KEY_CHECKS = 1;

user表


SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for user
-- ----------------------------
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user`  (
  `id` int(0) NULL DEFAULT NULL,
  `username` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `enabled` tinyint(1) NULL DEFAULT NULL,
  `accountNonExpired` tinyint(1) NULL DEFAULT NULL,
  `accountNonLocked` tinyint(1) NULL DEFAULT NULL,
  `credentialsNonExpired` tinyint(1) NULL DEFAULT NULL
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user
-- ----------------------------
INSERT INTO `user` VALUES (1, 'admin', '{noop}123', 1, 1, 1, 1);
INSERT INTO `user` VALUES (2, 'zhangsan', '{noop}123', 1, 1, 1, 1);
INSERT INTO `user` VALUES (3, 'lisi', '{noop}123', 1, 1, 1, 1);

SET FOREIGN_KEY_CHECKS = 1;

user_role关联表


SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for user_role
-- ----------------------------
DROP TABLE IF EXISTS `user_role`;
CREATE TABLE `user_role`  (
  `id` int(0) NOT NULL,
  `uid` int(0) NULL DEFAULT NULL,
  `rid` int(0) NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user_role
-- ----------------------------
INSERT INTO `user_role` VALUES (1, 1, 1);
INSERT INTO `user_role` VALUES (2, 1, 2);
INSERT INTO `user_role` VALUES (3, 2, 2);
INSERT INTO `user_role` VALUES (4, 3, 3);

SET FOREIGN_KEY_CHECKS = 1;

如此,便可大功告成,登录了。

这里还有一点要记录下,我们知道,在service里面,抛出了一个用户找不到异常,实际上,为了避免外界的攻击,一般不会给到很明确的回复,比如说,直接给一个登陆失败或者,账户或密码错误。

这一点,Spring Security也替我们考虑到了。

在这里插入图片描述
这是怎么回事呢,我们可以打个断点,进入到源码里面瞅一瞅:

在这里插入图片描述
接着往下走,就会走到下面这部分,有一个hideUserNotFoundExceptions,也就是说,会将“用户找不到”这个异常直接隐藏掉,这样就完美帮助我们解决掉了可能因为提示而导致的漏洞问题了。
在这里插入图片描述
至于说,错误提示中文这部分,就是国际化了,有兴趣的可以点进去看看:

在这里插入图片描述

结语

努力,终点就在前方!

同舟共度
关注
专栏目录
Spring Boot核心技术-笔记
12-05
12. **安全控制**:Spring Boot集成了Spring Security,提供了一套安全解决方案,包括用户认证、授权等。通过`@EnableWebSecurity`和`@ConfigurationProperties`,我们可以自定义安全设置。 以上仅是Spring Boot...
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
qq_42264638的博客
05-06 2093
Spring Security OAuth2.0(三)-----基于Redis存储和JDBC存储
Spring Security:探索 JDBC 身份验证
allway2的博客
10-27 730
这适用于这个简单的场景,但是如果我们要自定义数据库架构,或者即使我们想要使用不同的数据库供应商,它也有一些缺点。我们甚至包括一个使用PostgreSQL的示例,我们在本教程中没有显示该示例,只是为了保持简单。正如我们接下来将看到的,为了实现这一点,我们需要避免使用默认架构并提供自己的架构。这实际上是有道理的;让我们启动我们的应用程序。它正确初始化,这是有道理的,因为我们的架构是正确的。在这个简短的教程中,我们将探讨 Spring 提供的使用现有。我们强烈建议看看这篇文章,如果我们想了解事情是如何运作的。
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
热门推荐
小威的博客
04-18 1万+
Spring Security 的过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
Spring Boot Security使用 JDBC 和 MySQL 进行 RBAC,自定义登录验证,登录界面增加kaptcha验证码
allway2的博客
11-04 691
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从本教程中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下: 2. 配置数据源属性 接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。 要
系列七、Spring Security中基于Jdbc用户认证 & 授权
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
01-12 581
Spring Security中基于Jdbc用户认证 & 授权
Spring学习笔记+学习源码.zip
05-12
这份"Spring学习笔记+学习源码.zip"资源包含了深入学习Spring及其相关技术的知识点,以及实践代码,对提升Spring技能将大有裨益。 首先,我们来详细讨论Spring框架的主要组件和功能: 1. **依赖注入(Dependency ...
Spring Boot核心技术-笔记-pdf版.pdf
11-01
**Spring Boot核心技术详解** Spring Boot是由Pivotal团队提供的全新框架,其设计目标是为了简化Spring应用的...希望这份学习笔记能帮助你深入理解和掌握Spring Boot的精髓,祝你在Spring Boot学习之路上一帆风顺!
Spring Boot学习笔记
03-21
总结,Spring Boot学习笔记涵盖了Thymeleaf模板引擎的使用,如何实现国际化,以及如何将MyBatisJDBC整合到Spring Boot应用中,这些都是在构建现代Java后端应用时不可或缺的技术。通过深入理解并掌握这些知识点,...
HelloSpringSpring学习笔记-2020年8月6日10点10分
02-18
2. **数据访问/集成**:提供对各种数据库的访问支持,包括JDBC、ORM(对象关系映射)如Hibernate和MyBatis,以及OXM(对象XML映射)。 3. **Web模块**:支持基于MVC模式的Web开发,包括Spring MVC和Spring WebFlux...
spring-security-jdbc
04-27
NULL 博文链接:https://sunbin.iteye.com/blog/2393478
SpringSecurity使用JDBC认证
weixin_51251559的博客
04-03 670
springsecruty权限验证,使用JDBC,auth.jdbcAuthentication()认证
springsecurity配合jdbc使用
Mr.xu的博客
05-16 3727
springsecurity ​ 这是一个安全框架,通过授予用户特定的访问权限,访问特定的资源,这里结合jdbc从中获取权限验证 使用技术:thymeleaf+sercurity+springBoot+Mybatis-plus+mysql+Durid数据链接池 注意:在刚刚导入依赖时候,直接启动项目,访问login页面,是security自带的,可以试试,账户是user,密码在控制台随机生成的密码! 1.导入依赖 <dependencies> <dependency&gt
2021-12-10SpringSecurity安全框架(一)基于内存中的用户信息,基于JDBC用户认证
weixin_48400115的博客
12-10 849
基于内存中的用户信息: 继承类,重写方法,来实现自定义认证信息 @Configuration //相当于配置类,返回值是Java对象,对象放到spring容器之中 @EnableWebSecurity//表示启用安全框架功能 java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" 5版本要求必须加密! 基于角色的Role的身份认证,同一个用户可以有不同的角色。同时可以开启对
Spring Security登录账户自定义与数据持久化(5)
weixin_43831002的博客
08-03 1068
在前面的案例中,我们的登录用户是基于配置文件来配置的(本质是基于内存),但是在实际开发中,这种方式肯定是不可取的,在实际项目中,用户信息肯定要存入数据库之中。Spring Security支持多种用户定义方式,接下来我们就逐个来看一下这些定义方式。...
创建一个新的Spring Security应用程序,并使用JDBC连接数据库
最新发布
喵喵分享师
05-29 366
在这个教程中,我们将学习如何创建一个新的Spring Security应用程序,使用JDBC连接数据库以获取用户信息并进行认证。我们还将学习如何配置Spring Security以从数据库中获取用户和权限信息,并使其与不同的模式和数据源一起工作。
一步步入门搭建SpringSecurity OAuth2(密码模式)
我神级欧文的博客
02-05 5149
什么是OAuth2? 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 大概意思就是比如如果我们的系统的资源是受保护的,其他第三方应用想访问这些受保护的资源就要走OAuth2协议,通常是用在一些授权登录的场景,例如在其他网站上使用QQ,微信登录等。 OAuth2中的几个角色 用户:使用第三方应用(或...
篇二:springboot2.7 OAuth2 server使用jdbc存储RegisteredClient
suanhengzi的博客
01-04 1323
3.使用JdbcRegisteredClientRepository,它和InMemoryRegisteredClientRepository只能二选一,所以需要注释掉后者。上一篇 中简单描述了oauth2 server的配置,其中使用了内存保存 RegisteredClient,本篇改用mysql存储。db存储需要创建表,表结构应该是什么样的呢,从spring给我们封装好的源码入手,
朱晔和你聊Spring系列S1E10:强大且复杂的Spring Security(含OAuth2三角色+三模式完整例子)
qq_53058639的博客
02-25 594
OAuth2.0是一套授权体系的开放标准,定义了四大角色:1.资源拥有者,也就是用户,由用于授予三方应用权限 2.客户端,也就是三方应用程序,在访问用户资源之前需要用户授权 3.资源提供者,或者说资源服务器,提供资源,需要实现Token和ClientID的校验,以及做好相应的权限控制 4.授权服务器,验证用户身份,为客户端颁发Token,并且维护管理ClientID、Token以及用户其中后三项都可以是独立的程序,在本文的例子中我们会为这三者建立独立的项目。
全栈工程师的Java后端学习笔记与源码解析
资源摘要信息:"java-backend:full-stack-path是一个开源项目的学习笔记仓库,包含源码解析、实战指南和面试技巧,记录了作者在成为一名全栈工程师路上的学习所得。该项目不仅提供了源码层面的深入分析,还涵盖了实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值