Spring Security学习与探究系列(二):从数据库中加载用户以及用户权限验证

最新推荐文章于 2023-05-04 16:35:36 发布
最新推荐文章于 2023-05-04 16:35:36 发布
阅读量628 收藏
点赞数 1
分类专栏: JaveWeb 文章标签: spring Spring Security java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a553181867/article/details/115838996
版权

前言

在上一篇文章中,笔者介绍了Spring Security的简单使用,但同时也遗留了一些问题。在本篇文章中,笔者将进一步探究Spring Security的使用方法,主要聚焦于以下两个问题:从数据库中加载账户数据和为账户定义不同的权限。我们知道,一个常见的网站除了身份验证之外,还应该有权限验证,因为不同身份可以访问的资源应该是不一样的。比如博客系统,普通用户可以正常管理自己发布的文章,而管理员则可以对所有普通用户的文章进行管理。

实现

下面逐步来介绍怎么实现本文的目标。

1.配置POM文件

我们新建一个SpringBoot项目,使用IDEA所提供的Spring Initializr,同时勾选Spring Security、JDBC API、MyBatis和thymeleaf等组件,创建项目完毕后,其pom.xml文件的配置如下所示:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>SpringSecurityDemo2</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>11</java.version>
    </properties>
    <dependencies>
    	<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.4</version>
        </dependency>
		<dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2.数据库相关配置

由于需要从数据库中加载账户数据,因此我们需要先创建一个用户数据表。为了简单起见,用户数据表仅有以下几个字段:ID、用户名、密码、性别和权限。这里的权限以字符串形式存在,分别有两个权限:useradmin,代表了普通权限和管理员权限,不同的权限将能访问到不同的资源。

笔者所使用的数据库为MySQL8.0,创建一个springsecuritydemo2的数据库,然后创建user数据表,其SQL语句如下所示:

CREATE TABLE `springsecuritydemo2`.`user` (
  `id` INT NOT NULL AUTO_INCREMENT,
  `username` VARCHAR(45) NOT NULL,
  `password` VARCHAR(90) NOT NULL,
  `sex` VARCHAR(45) NOT NULL,
  `authority` VARCHAR(45) NOT NULL,
  PRIMARY KEY (`id`));

创建数据表后,我们新增两条数据如下:

INSERT INTO `springsecuritydemo2`.`user` (`id`, `username`, `password`, `sex`, `authority`) VALUES ('1', 'user', '$2a$10$O0LmLvs6sPVR4oy7StpgzuIaZY2jnToS/u38EsWxfKofIBY6W5POm', '男', 'user');
INSERT INTO `springsecuritydemo2`.`user` (`id`, `username`, `password`, `sex`, `authority`) VALUES ('2', 'admin', '$2a$10$O0LmLvs6sPVR4oy7StpgzuIaZY2jnToS/u38EsWxfKofIBY6W5POm', '男', 'user,admin');

分别为useradmin,二者的明文密码均是123456user的权限只有user,而admin的权限包括了user和admin。可以看出,存储在数据库中的密码是密文存储,这里使用的是BCryptPasswordEncoder123456进行加密得到的密码。

3.与MyBatis有关的配置

接下来,由于我们使用MyBatis作为读取数据库的框架,因此需要先对MyBatis进行配置,在application.properties文件下进行如下配置:

spring.datasource.url=jdbc:mysql://localhost:3306/springsecuritydemo2?setUnicode=true&characterEncoding=utf8&serverTimezone=UTC
spring.datasource.username=[你数据库的用户名]
spring.datasource.password=[你数据库的密码]
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver

还需建立一个Mapper文件,而在查询数据库的过程中,需要有一个Java Bean与数据表的字段相对应。我们先建立一个UserBean类,用于表示数据表user的一行数据:

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Component
public class UserBean implements UserDetails {

    private int id;
    private String username;
    private String password;
    private String sex;
    private String authority;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        String[] authorities = authority.split(",");	//由于数据库中authority字段里面是用","来分隔每个权限
        List<SimpleGrantedAuthority> simpleGrantedAuthorities = new ArrayList<>();
        for (String role : authorities){
            simpleGrantedAuthorities.add(new SimpleGrantedAuthority(role));
        }
        return simpleGrantedAuthorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

上述的UserBean与常见的Bean的不同之处在于,实现了UserDetails接口,该接口是Spring Security提供的与用户验证与鉴权有关的接口,所需要重写的几个方法具体解释如下:

  1. Collection<? extends GrantedAuthority> getAuthorities():返回当前用户所支持的权限
  2. String getPassword():返回当前用户的密码
  3. String getUsername():返回当前用户的用户名
  4. boolean isAccountNonExpired():返回当前用户是否过期
  5. boolean isAccountNonLocked():返回当前用户是否被锁定
  6. boolean isCredentialsNonExpired():返回当前用户权限是否过期
  7. boolean isEnabled():返回当前用户是否可用

在本文中,仅对用户权限进行了处理,别的账户状态如是否过期等,可以结合具体的项目及数据库来自行实现。
下面,建立Mapper文件,该文件实现SQL语句到Java代码的映射,新建UserMapper文件如下:

import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Component;

@Mapper
@Component
public interface UserMapper {

    @Select("select * from user where username = #{username}")
    UserBean getUserByUsername(@Param("username") String username);
}

代码很简单,使用@Select标注来写入SQL语句即可,这里根据usernameuser表中查询对应的行。

4.准备几个前端页面

本小节来准备几个前端页面,分别是user.htmladmin.html,登录页面使用Spring Security默认的login页面,为了方便起见,所使用的前端页面都很简单,仅作为一个示例使用。在resources文件夹下新建一个templates文件夹,然后新增下面两个html文件。

  1. admin.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
    <meta charset="UTF-8">
    <title>Admin</title>
</head>
<body>
<h3>登录成功,该页面需要Admin权限才能访问</h3>
<div style="display: flex">
    <p>用户名:</p><p th:text="${username}"></p>
</div>
</body>
</html>
  1. user.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
    <meta charset="UTF-8">
    <title>User</title>
</head>
<body>
<h3>登录成功,该页面需要User权限才能访问</h3>
<div style="display: flex">
    <p>用户名:</p><p th:text="${username}"></p>
</div>
</body>
</html>

5.配置Spring Security

本小节介绍如何配置Spring Security以实现上述功能。根据上一篇文章的内容,我们需要创建一个SecurityConfig继承WebSecurityConfigurerAdapter。由于我们这里的需求是加载数据库的账户数据来进行验证,我们还需要一个验证器。在Spring Security中,提供了一个UserDetailsService的接口,允许我们以自定义的方式加载UserBean,因此,我们可以在这里实现从数据库中读取UserBean
创建DBUserDetailsService .java文件:

@Service
public class DBUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;
    
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        return userMapper.getUserByUsername(s);
    }
}

上面代码中,使用了UserMapper来读取数据库的用户数据。接下来,我们创建SecurityConfig文件,实现对Spring Security的配置:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.DefaultRedirectStrategy;

import java.util.Set;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    DBUserDetailsService dbUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //添加自定义的验证器
        auth.userDetailsService(dbUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();  //关闭CSRF验证
        http.authorizeRequests()
                .antMatchers("/user").hasAuthority("user")  //访问/user接口需要[user]权限
                .antMatchers("/admin").hasAuthority("admin")//访问/admin接口需要[admin]权限
                .and()
                .formLogin()
                .successHandler((httpServletRequest, httpServletResponse, authentication) -> {
                    Set<String> authorities = AuthorityUtils.authorityListToSet(authentication.getAuthorities());
                    if (authorities.contains("admin")){
                        //如果有admin权限,则跳转至/admin页面
                        new DefaultRedirectStrategy().sendRedirect(httpServletRequest, httpServletResponse, "/admin");
                    }else {
                        //否则跳转至/user页面
                        new DefaultRedirectStrategy().sendRedirect(httpServletRequest, httpServletResponse, "/user");
                    }
                });
    }
}

在上述代码中,为/user和’/admin’页面分别添加了不同的权限,并且根据登录的用户所有的权限来自动跳转到不同的页面。代码写到这里就差不多了,事不宜迟,我们马上来运行代码看看结果。

运行结果

1、在浏览器输入locahost:8080/login,得到默认的登录页面如下:在这里插入图片描述
2、输入admin123465观察其跳转情况:

在这里插入图片描述
3、输入user123456观察其跳转情况:
在这里插入图片描述
运行结果很成功,完整地实现了本文一开始所聚焦的两个问题。最后再次感谢你们的阅读~

程序员的自我反思
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot spring security数据库权限
weixin_43763403的博客
05-12 658
spring security spring security 入门 先来说一下spring security的运行逻辑吧。 首先任何访问服务器的请求都会被拦截下来,之后由 spring security 进行判断什么样的请求能过,什么样的请求需要什面样的权限才能访问。而我们要做的就是配置一下这个请求需要的权限,听起来和拦截器差不多,但是 spring security 想的比较全面,而我们写的可能不够全面所以还是使用spring security框架更方便。 配置分几步。 首先要配置权限,什么样的路径
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 用户、角色、权限信息通常存放在 RBAC 权限模型的数据库,而不是写死在配置文件。为了动态加载这些信息,我们需要实现 UserDetails 和 UserDetailsService 接口。 UserDetails 接口...
spring security 读取数据库权限信息
03-17
项目自身的权限信息结合spring security 框架的实现。 本DEMO只包括从数据库读取登录认证信息,认证通过后 从数据库读取授权信息来控制用户的访问.权限元素包括 用户,角色,菜单以及这三者的关系。 本DEMO使用了spring security, hibernate jpa 以及struts.
Springsecurity数据库动态加载登陆、授权、资源鉴权规则(重要)
方木的博客
02-17 1977
五、加载动态数据进行登录与授权(重要) 实际的业务系统,用户权限的对应关系通常是存放在RBAC权限模型的数据库的 RBAC的权限模型可以从用户获取用户分配的一个或多个角色,从用户的角色又可以获取该角色的多种权限。通过关联查询可以获取某个用户的角色信息和权限信息。 如果我们不希望用户、角色、权限信息写死在配置里面。我们应该实现UserDetails与UserDetailsService接...
springboot集成spring security初探2--从数据库读取用户权限
iamletian
11-10 1226
上一篇文章只是实现了 UserDetailService 接口,简单new 了一个 User,并没有连接数据库验证用户信息和权限。本篇将详细介绍连接数据库之后的认证操作。
spring security 使用(将权限信息放入数据库,并自定义登录认证)
pan-zy的专栏
09-17 4761
一、数据库结构
SpringBoot集成Spring Security实现权限控制【完整源码+数据库
02-16
Spring Security可以与MySQL等数据库集成,使用`UserDetailsService`从数据库加载用户信息。项目提供的`sql`文件可能包含了预设的用户和角色数据。 6. **IDEA集成**:`idea`标签表明这个项目是使用IntelliJ IDEA...
spring security学习-3. 自定义数据库表结构.doc
06-03
自定义数据库表结构”的文档,我们将探讨如何根据企业特定的需求来定制Spring Security数据库表结构,并且如何初始化数据以及获取自定义的用户权限信息。Spring Security默认的表结构可能无法满足所有企业的...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security ,可以使用数据库来存储用户信息,并使用数据库认证来验证用户身份。为了实现数据库认证,需要在 Spring Security 配置文件配置 authentication-manager 元素,并指定用户服务(user-service...
Spring-Security权限sql角色与菜单的数据库信息
最新发布
11-09
Spring-Security权限sql角色与菜单的数据库信息
spring security数据库交互实现简单例子
03-22
NULL 博文链接:https://ynp.iteye.com/blog/1008178
Spring-Security 2 数据库读取权限的实现方式
想飞的鱼
07-22 345
security的配置片段: &lt;http auto-config="true" lowercase-comparisons="false" access-decision-manager-ref="accessDecisionManager"&gt; &lt;intercept-url pattern="/images/*" filters="none"/&gt;
springsecurity数据库进行用户认证和权限管理
AdeleXMD的博客
12-29 340
securityconfig配置类。--核心安全依赖-->UserEnum枚举类。
SpringSecurity安全认证之:数据库方式权限认证
m0_51262858的博客
09-21 640
数据库方式给动态资 添加项目依赖: com.baomidou mybatis-plus-boot-starter 3.4.2 mysql mysql-connector-java
SpringSecurity-Web权限-用户认证()查询数据库完成用户认证
qq_31277409的博客
01-14 312
系列文章目录 SpringSecurity-Web权限-用户认证(一)认证的三种形式 文章目录系列文章目录前言一、创建数据库表 users、创建users对应的实体类三、 整合mp继承mp接口四、在MyUserDetailsService调用mapper里的方法查询数据库进行认证五、创建配置类六、定义controller类进行测试七、测试结果 前言 本文介绍SpringSecurity的web权限方案查询数据库完成认证的方法 提示:以下是本篇文章正文内容,下面案例可供参考 一、创建数据库表 u
spring security (三) 数据库认证,获取用户权限和url地址
mylove10086
05-14 1万+
通过一和已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java的。这次我们把这些内容到放在数据库,在系统启动时从数据库获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
.Net6基于IdentityServer4配置服务授权以及策略授权
qq_41974094的博客
05-04 490
上面的认证授权配置没有权限的概念,只要AccessToken符合认证授权服务生成的规则就可以访问接口。在实际的开发,有些接口是只允许。源码地址:https://gitee.com/nzyGetHub/Microservice2.git。的角色,获取到的AccessToken可以正常访问接口。,配置了认证授权服务。这篇配置接口访问时进行授权。接下来配置策略授权,改造一下上面的代码。先获取AccessToken,再请求接口。这样认证授权配置就可以了。的.Net6项目,引用包源。
Netcore使用JWT的认证授权服务
世界既不黑也不白,而是一道精致的灰。
05-24 440
JWT直接使用jwt基于Net6框架实现JWT 直接使用jwt 基于Net6框架实现JWT
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
springboot整合spring security 实现用户登录注册与鉴权全记录,权限数据库查询
03-30
首先,需要在pom.xml加入spring security和相关依赖文件: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-data</artifactId> </dependency> ``` 接着,在application.properties配置数据库信息: ``` spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=UTC spring.datasource.username=root spring.datasource.password=123456 spring.datasource.driver-class-name=com.mysql.jdbc.Driver ``` 然后,创建用户表和权限表,用来存储用户权限信息。用户表包括用户名和密码,权限表包括权限名称和对应的URL。 接下来,创建UserDetailService实现类,用于从数据库读取用户信息。代码如下: ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserDao userDao; @Override public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException { User user = userDao.findByUserName(userName); if (user == null) { throw new UsernameNotFoundException("用户名不存在"); } List<GrantedAuthority> authorities = new ArrayList<>(); List<Role> roles = user.getRoles(); for (Role role : roles) { authorities.add(new SimpleGrantedAuthority(role.getRoleName())); } return new org.springframework.security.core.userdetails.User(user.getUserName(), user.getPassword(), authorities); } } ``` 然后,创建SecurityConfig类,用于配置Spring Security。代码如下: ``` @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 其,configure方法用于配置请求的权限,configureGlobal方法用于设置自定义的UserDetailsService,passwordEncoder方法用于设置密码加密方式。 最后,创建UserController类,用于处理用户登录注册和鉴权请求。代码如下: ``` @RestController public class UserController { @Autowired private UserDao userDao; @Autowired private PasswordEncoder passwordEncoder; @PostMapping("/register") public String register(@RequestParam String userName, @RequestParam String password) { User user = userDao.findByUserName(userName); if (user != null) { return "用户名已存在"; } user = new User(); user.setUserName(userName); user.setPassword(passwordEncoder.encode(password)); userDao.save(user); return "注册成功"; } @PostMapping("/login") public String login(@RequestParam String userName, @RequestParam String password) { try { UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(userName, password); Authentication authentication = authenticationManager().authenticate(token); SecurityContextHolder.getContext().setAuthentication(authentication); return "登录成功"; } catch (Exception e) { return "用户名或密码错误"; } } @GetMapping("/admin") @PreAuthorize("hasRole('ADMIN')") public String admin() { return "管理员权限"; } @GetMapping("/user") @PreAuthorize("hasAnyRole('USER','ADMIN')") public String user() { return "用户权限"; } } ``` 其,register方法用于处理用户注册请求,login方法用于处理用户登录请求,admin和user方法用于处理鉴权请求。 至此,整合spring security实现用户登录注册与鉴权全记录,权限数据库查询的操作已经完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值