Spring Security学习与探究系列(二):从数据库中加载用户以及用户权限验证

最新推荐文章于 2023-05-04 16:35:36 发布
最新推荐文章于 2023-05-04 16:35:36 发布
阅读量672 收藏 1
点赞数 2
分类专栏: JaveWeb 文章标签: spring Spring Security java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a553181867/article/details/115838996
版权

前言

在上一篇文章中,笔者介绍了Spring Security的简单使用,但同时也遗留了一些问题。在本篇文章中,笔者将进一步探究Spring Security的使用方法,主要聚焦于以下两个问题:从数据库中加载账户数据和为账户定义不同的权限。我们知道,一个常见的网站除了身份验证之外,还应该有权限验证,因为不同身份可以访问的资源应该是不一样的。比如博客系统,普通用户可以正常管理自己发布的文章,而管理员则可以对所有普通用户的文章进行管理。

实现

下面逐步来介绍怎么实现本文的目标。

1.配置POM文件

我们新建一个SpringBoot项目,使用IDEA所提供的Spring Initializr,同时勾选Spring Security、JDBC API、MyBatis和thymeleaf等组件,创建项目完毕后,其pom.xml文件的配置如下所示:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>SpringSecurityDemo2</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>11</java.version>
    </properties>
    <dependencies>
    	<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.4</version>
        </dependency>
		<dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2.数据库相关配置

由于需要从数据库中加载账户数据,因此我们需要先创建一个用户数据表。为了简单起见,用户数据表仅有以下几个字段:ID、用户名、密码、性别和权限。这里的权限以字符串形式存在,分别有两个权限:useradmin,代表了普通权限和管理员权限,不同的权限将能访问到不同的资源。

笔者所使用的数据库为MySQL8.0,创建一个springsecuritydemo2的数据库,然后创建user数据表,其SQL语句如下所示:

CREATE TABLE `springsecuritydemo2`.`user` (
  `id` INT NOT NULL AUTO_INCREMENT,
  `username` VARCHAR(45) NOT NULL,
  `password` VARCHAR(90) NOT NULL,
  `sex` VARCHAR(45) NOT NULL,
  `authority` VARCHAR(45) NOT NULL,
  PRIMARY KEY (`id`));

创建数据表后,我们新增两条数据如下:

INSERT INTO `springsecuritydemo2`.`user` (`id`, `username`, `password`, `sex`, `authority`) VALUES ('1', 'user', '$2a$10$O0LmLvs6sPVR4oy7StpgzuIaZY2jnToS/u38EsWxfKofIBY6W5POm', '男', 'user');
INSERT INTO `springsecuritydemo2`.`user` (`id`, `username`, `password`, `sex`, `authority`) VALUES ('2', 'admin', '$2a$10$O0LmLvs6sPVR4oy7StpgzuIaZY2jnToS/u38EsWxfKofIBY6W5POm', '男', 'user,admin');

分别为useradmin,二者的明文密码均是123456user的权限只有user,而admin的权限包括了user和admin。可以看出,存储在数据库中的密码是密文存储,这里使用的是BCryptPasswordEncoder123456进行加密得到的密码。

3.与MyBatis有关的配置

接下来,由于我们使用MyBatis作为读取数据库的框架,因此需要先对MyBatis进行配置,在application.properties文件下进行如下配置:

spring.datasource.url=jdbc:mysql://localhost:3306/springsecuritydemo2?setUnicode=true&characterEncoding=utf8&serverTimezone=UTC
spring.datasource.username=[你数据库的用户名]
spring.datasource.password=[你数据库的密码]
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver

还需建立一个Mapper文件,而在查询数据库的过程中,需要有一个Java Bean与数据表的字段相对应。我们先建立一个UserBean类,用于表示数据表user的一行数据:

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Component
public class UserBean implements UserDetails {

    private int id;
    private String username;
    private String password;
    private String sex;
    private String authority;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        String[] authorities = authority.split(",");	//由于数据库中authority字段里面是用","来分隔每个权限
        List<SimpleGrantedAuthority> simpleGrantedAuthorities = new ArrayList<>();
        for (String role : authorities){
            simpleGrantedAuthorities.add(new SimpleGrantedAuthority(role));
        }
        return simpleGrantedAuthorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

上述的UserBean与常见的Bean的不同之处在于,实现了UserDetails接口,该接口是Spring Security提供的与用户验证与鉴权有关的接口,所需要重写的几个方法具体解释如下:

  1. Collection<? extends GrantedAuthority> getAuthorities():返回当前用户所支持的权限
  2. String getPassword():返回当前用户的密码
  3. String getUsername():返回当前用户的用户名
  4. boolean isAccountNonExpired():返回当前用户是否过期
  5. boolean isAccountNonLocked():返回当前用户是否被锁定
  6. boolean isCredentialsNonExpired():返回当前用户权限是否过期
  7. boolean isEnabled():返回当前用户是否可用

在本文中,仅对用户权限进行了处理,别的账户状态如是否过期等,可以结合具体的项目及数据库来自行实现。
下面,建立Mapper文件,该文件实现SQL语句到Java代码的映射,新建UserMapper文件如下:

import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Component;

@Mapper
@Component
public interface UserMapper {

    @Select("select * from user where username = #{username}")
    UserBean getUserByUsername(@Param("username") String username);
}

代码很简单,使用@Select标注来写入SQL语句即可,这里根据usernameuser表中查询对应的行。

4.准备几个前端页面

本小节来准备几个前端页面,分别是user.htmladmin.html,登录页面使用Spring Security默认的login页面,为了方便起见,所使用的前端页面都很简单,仅作为一个示例使用。在resources文件夹下新建一个templates文件夹,然后新增下面两个html文件。

  1. admin.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
    <meta charset="UTF-8">
    <title>Admin</title>
</head>
<body>
<h3>登录成功,该页面需要Admin权限才能访问</h3>
<div style="display: flex">
    <p>用户名:</p><p th:text="${username}"></p>
</div>
</body>
</html>
  1. user.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
    <meta charset="UTF-8">
    <title>User</title>
</head>
<body>
<h3>登录成功,该页面需要User权限才能访问</h3>
<div style="display: flex">
    <p>用户名:</p><p th:text="${username}"></p>
</div>
</body>
</html>

5.配置Spring Security

本小节介绍如何配置Spring Security以实现上述功能。根据上一篇文章的内容,我们需要创建一个SecurityConfig继承WebSecurityConfigurerAdapter。由于我们这里的需求是加载数据库的账户数据来进行验证,我们还需要一个验证器。在Spring Security中,提供了一个UserDetailsService的接口,允许我们以自定义的方式加载UserBean,因此,我们可以在这里实现从数据库中读取UserBean
创建DBUserDetailsService .java文件:

@Service
public class DBUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;
    
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        return userMapper.getUserByUsername(s);
    }
}

上面代码中,使用了UserMapper来读取数据库的用户数据。接下来,我们创建SecurityConfig文件,实现对Spring Security的配置:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.DefaultRedirectStrategy;

import java.util.Set;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    DBUserDetailsService dbUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //添加自定义的验证器
        auth.userDetailsService(dbUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();  //关闭CSRF验证
        http.authorizeRequests()
                .antMatchers("/user").hasAuthority("user")  //访问/user接口需要[user]权限
                .antMatchers("/admin").hasAuthority("admin")//访问/admin接口需要[admin]权限
                .and()
                .formLogin()
                .successHandler((httpServletRequest, httpServletResponse, authentication) -> {
                    Set<String> authorities = AuthorityUtils.authorityListToSet(authentication.getAuthorities());
                    if (authorities.contains("admin")){
                        //如果有admin权限,则跳转至/admin页面
                        new DefaultRedirectStrategy().sendRedirect(httpServletRequest, httpServletResponse, "/admin");
                    }else {
                        //否则跳转至/user页面
                        new DefaultRedirectStrategy().sendRedirect(httpServletRequest, httpServletResponse, "/user");
                    }
                });
    }
}

在上述代码中,为/user和’/admin’页面分别添加了不同的权限,并且根据登录的用户所有的权限来自动跳转到不同的页面。代码写到这里就差不多了,事不宜迟,我们马上来运行代码看看结果。

运行结果

1、在浏览器输入locahost:8080/login,得到默认的登录页面如下:在这里插入图片描述
2、输入admin123465观察其跳转情况:

在这里插入图片描述
3、输入user123456观察其跳转情况:
在这里插入图片描述
运行结果很成功,完整地实现了本文一开始所聚焦的两个问题。最后再次感谢你们的阅读~

程序员的自我反思
关注
专栏目录
Springboot spring security数据库权限
weixin_43763403的博客
05-12 715
spring security spring security 入门 先来说一下spring security的运行逻辑吧。 首先任何访问服务器的请求都会被拦截下来,之后由 spring security 进行判断什么样的请求能过,什么样的请求需要什面样的权限才能访问。而我们要做的就是配置一下这个请求需要的权限,听起来和拦截器差不多,但是 spring security 想的比较全面,而我们写的可能不够全面所以还是使用spring security框架更方便。 配置分几步。 首先要配置权限,什么样的路径
狂神说——SpringBoot学习
weixin_44543307的博客
12-06 5282
Springboot 学习笔记Springboot简介什么是微服务?ThymeleafDuridSpringboot整合mybatisSpringSecurity安全Shiroswagger定时任务springboot 整合分布式 dubbo+ zookeeper+ springbootDubboRPC(两大核心:通讯,序列化)Zookeeper总结 学习源码 spring官网 springboot官网 spring-security版本下载 狂神官网学习 也可以搜索B站 (狂神说) Springboot简
spring security 读取数据库权限信息
03-17
项目自身的权限信息结合spring security 框架的实现。 本DEMO只包括从数据库读取登录认证信息,认证通过后 从数据库读取授权信息来控制用户的访问.权限元素包括 用户,角色,菜单以及这三者的关系。 本DEMO使用了spring security, hibernate jpa 以及struts.
Springsecurity数据库动态加载登陆、授权、资源鉴权规则(重要)
方木的博客
02-17 2064
五、加载动态数据进行登录与授权(重要) 实际的业务系统,用户权限的对应关系通常是存放在RBAC权限模型的数据库的 RBAC的权限模型可以从用户获取用户分配的一个或多个角色,从用户的角色又可以获取该角色的多种权限。通过关联查询可以获取某个用户的角色信息和权限信息。 如果我们不希望用户、角色、权限信息写死在配置里面。我们应该实现UserDetails与UserDetailsService接...
springboot集成spring security初探2--从数据库读取用户权限
iamletian
11-10 1261
上一篇文章只是实现了 UserDetailService 接口,简单new 了一个 User,并没有连接数据库验证用户信息和权限。本篇将详细介绍连接数据库之后的认证操作。
spring security 使用(将权限信息放入数据库,并自定义登录认证)
pan-zy的专栏
09-17 4787
一、数据库结构
Spring Security授权机制深入解析:基于角色和权限的访问控制的实战技巧
![Spring Security授权机制深入解析:基于角色和权限的访问控制的实战技巧]...Spring Security作为一个强大的权限控制框架,集成了认证与授权的完整生命周期管理。在Spring
Java Security Manager与网络应用安全】:远程访问的防护策略
Java Security Manager 是 Java 平台用于控制应用程序在特定安全策略下运行的组件。它为 Java 应用程序提供了一种强大的机制,用于实施访问控制和数据保护。通过定义安全策略文件,开发人员可以精确控制代码对系统...
Spring框架进化论】:FileCopyUtils的发展史及其在Spring的核心地位
Spring框架与FileCopyUtils概述 Spring框架作为Java平台最为流行的开源框架之一,已经深深植根于企业级应用开发之。它为开发者提供了全面的编程和配置模型,其内建的FileCopyUtils类,作为资源处理的一部分,...
Spring框架原理精通:IoC与AOP核心原理剖析,简化开发流程
[Spring框架原理精通:IoC与AOP核心原理剖析,简化开发流程](https://jstobigdata.com/wp-content/uploads/2020/01/Spring_bean_destroy-1024x536.png) # 1. Spring框架概述及核心概念 Spring框架是Java平台的一个...
Spring-Security 2 数据库读取权限的实现方式
想飞的鱼
07-22 364
security的配置片段: &lt;http auto-config="true" lowercase-comparisons="false" access-decision-manager-ref="accessDecisionManager"&gt; &lt;intercept-url pattern="/images/*" filters="none"/&gt;
springsecurity数据库进行用户认证和权限管理
AdeleXMD的博客
12-29 368
securityconfig配置类。--核心安全依赖-->UserEnum枚举类。
SpringSecurity安全认证之:数据库方式权限认证
m0_51262858的博客
09-21 672
数据库方式给动态资 添加项目依赖: com.baomidou mybatis-plus-boot-starter 3.4.2 mysql mysql-connector-java
SpringSecurity-Web权限-用户认证()查询数据库完成用户认证
qq_31277409的博客
01-14 391
系列文章目录 SpringSecurity-Web权限-用户认证(一)认证的三种形式 文章目录系列文章目录前言一、创建数据库表 users、创建users对应的实体类三、 整合mp继承mp接口四、在MyUserDetailsService调用mapper里的方法查询数据库进行认证五、创建配置类六、定义controller类进行测试七、测试结果 前言 本文介绍SpringSecurity的web权限方案查询数据库完成认证的方法 提示:以下是本篇文章正文内容,下面案例可供参考 一、创建数据库表 u
spring security (三) 数据库认证,获取用户权限和url地址
mylove10086
05-14 1万+
通过一和已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java的。这次我们把这些内容到放在数据库,在系统启动时从数据库获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
.Net6基于IdentityServer4配置服务授权以及策略授权
最新发布
qq_41974094的博客
05-04 554
上面的认证授权配置没有权限的概念,只要AccessToken符合认证授权服务生成的规则就可以访问接口。在实际的开发,有些接口是只允许。源码地址:https://gitee.com/nzyGetHub/Microservice2.git。的角色,获取到的AccessToken可以正常访问接口。,配置了认证授权服务。这篇配置接口访问时进行授权。接下来配置策略授权,改造一下上面的代码。先获取AccessToken,再请求接口。这样认证授权配置就可以了。的.Net6项目,引用包源。
Netcore使用JWT的认证授权服务
世界既不黑也不白,而是一道精致的灰。
05-24 499
JWT直接使用jwt基于Net6框架实现JWT 直接使用jwt 基于Net6框架实现JWT
Spring Security基于数据库配置权限(角色,路径)
pujiaolin的专栏
06-29 1万+
Spring Security基于数据库配置权限(角色,路径) 传统的后台管理系统,在权限处理上通常5个表:用户表,角色表,资源表,用户角色关联表,角色资源关联表。现在为了避免重复造轮子,自己写拦截处理,我们可以使用Spring Security来做权限控制。 Spring Security官方推荐通过配置来实现角色和资源的对应,这样的问题是假如需要线上配置角色与资源对应就不行了,所以下面
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
Spring Boot整合Spring Security实战:自定义验证逻辑与权限控制
这样,我们就完成了Spring Boot应用Spring Security的整合,实现了页面访问权限限制、用户角色区分、在数据库存储用户信息以及自定义验证代码。在实际项目,可以根据具体需求调整配置,增加更多的安全控制和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值