我是怎样开发一个开源系统的安全模块?

最新推荐文章于 2024-09-21 22:27:00 发布
最新推荐文章于 2024-09-21 22:27:00 发布
阅读量8.2k 收藏
点赞数
分类专栏: 从0到1开发前后端分离系统 文章标签: java springsecurity springboot
本内容最终版权归csdn博主掉头发的王富贵所有,本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/csdnerM/article/details/120964868
版权
本文介绍如何在程序员师徒系统中应用SpringSecurity进行用户认证和授权。通过创建用户和角色表,导入相关依赖,重写登录验证逻辑,并配置权限模块,实现了系统的安全功能。详细代码可在作者的Gitee仓库中找到。
摘要由CSDN通过智能技术生成

写在前面:

最近有一个想法,做一个程序员师徒系统。因为在大学期间的我在学习java的时候非常地迷茫,找不到自己的方向,也没有一个社会上有经验的前辈去指导,所以走了很多的弯路。后来工作了,想把自己的避坑经验分享给别人,但是发现身边都是有经验的开发者,也没有机会去分享自己的想法,所以富贵同学就想做一个程序员专属的师徒系统,秉承着徒弟能够有人指教少走弯路,师傅能桃李满天下的目的,所以开始做这个师徒系统,也会同步更新该系统所用到的技术,并且作为教程分享给大家,希望大家能够关注一波。
请添加图片描述
好的,接下来给大家讲一讲改系统中安全模块用到的技术:SpringSecurity,用SpringBoot整合SpringSecurity。

1.首先我们需要创建一个用户表和角色表:

CREATE TABLE `user` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `email` varchar(100) DEFAULT NULL COMMENT '邮箱',
  `user_name` varchar(20) DEFAULT NULL COMMENT '用户名',
  `password` varchar(255) DEFAULT NULL COMMENT '密码',
  `role_id` int(11) DEFAULT NULL COMMENT '用户角色',
  `photo` varchar(100) DEFAULT NULL COMMENT '用户头像地址',
  `status` int(11) DEFAULT '1' COMMENT '用户状态 1 启用 2 停止',
  `register_date` datetime DEFAULT NULL COMMENT '用户注册时间',
  `contact_no` varchar(11) DEFAULT NULL COMMENT '联系方式',
  `del_flag` int(11) DEFAULT '0' COMMENT '0 存在,1 删除',
  `create_time` datetime DEFAULT NULL,
  `update_time` datetime DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `nickname` varchar(255) DEFAULT NULL COMMENT '昵称',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

CREATE TABLE `role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role_name` varchar(50) DEFAULT NULL COMMENT '角色名称',
  `sort` int(11) DEFAULT NULL,
  `role_desc` varchar(50) DEFAULT NULL COMMENT '角色描述',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COMMENT='平台角色表';

2.导入pml依赖:

SpringSecurity+web

 	    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

同时我们需要用到MybatisPlus:

        <!--Mybatis-Plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.2</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.22</version>
            <scope>provided</scope>
        </dependency>

还有yml文件的配置:

server:
  port: 8080
# DataSource Config
spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/apprentice?serverTimezone=PRC
    username: root
    password: 123456
mybatis-plus:
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

基本的配置已经好了,做这个时候我们启动服务访问localhost:8080就会跳转到springsecurity自带的登录界面,用户默认为user,密码会从控制台输出一串随机字符串

3.那么问题来了,我该怎么样从我们的数据库中读取用户的username和password呢?

第一步:首先编写domain类:
用户:

@Data
public class User {

    @TableId(type = IdType.AUTO)
    private Integer id;
    private String email;
    private String userName;
    private String password;
    private String photo;
    private Integer status;
    private Date registerDate;
    private String contactNo;
    private Integer delFlag;
    private Date createTime;
    private Date updateTime;
    private String nickname;
    private Integer roleId;

}

角色:

@Data
public class Role {
    private Long id;
    private String roleName;
    private Integer sort;
    private String roleDesc;
}

第二步,在springsecurity中有一个类会在登录的时候获取用户的username和password,这个时候我们需要重写这个类:


@Component
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserService userInfoService;
    @Autowired
    private RoleService roleService;

    /**
     * 需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定
     */
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 通过用户名从数据库获取用户信息
        User userInfo = userInfoService.getUserInfo(username);
        if (userInfo == null) {
            throw new UsernameNotFoundException("用户不存在");
        }

        // 得到用户角色
        Integer roleId = userInfo.getRoleId();
        String role = roleService.getUserRole(roleId);


        // 角色集合
        List<GrantedAuthority> authorities = new ArrayList<>();
        // 角色必须以`ROLE_`开头,数据库中没有,则在这里加
        authorities.add(new SimpleGrantedAuthority("ROLE_" + role));

        return new org.springframework.security.core.userdetails.User(
                userInfo.getUserName(),
                userInfo.getPassword(),
                authorities
        );
    }
}

这里有一个特别细的点:
请添加图片描述

  return new org.springframework.security.core.userdetails.User(
                userInfo.getUserName(),
                userInfo.getPassword(),
                authorities
        );

这块userInfo.getPassword() ,现在我们没有注册用户的功能,所以数据库存储的是明文字段,这个时候我们需要把这句替换为passwordEncoder.encode(userInfo.getPassword()),!!

第三步:随后我们新增一个配置类:WebSecurityConfig

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService userDatailService;

    /**
     * 指定加密方式
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 使用BCrypt加密密码
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                // 从数据库读取的用户进行身份认证
                .userDetailsService(userDatailService)
                .passwordEncoder(passwordEncoder());
    }
}

好了,接下来就可以使用我们user表里面的username和password登录系统了。

哦对了!userInfoService,roleService这些基础的代码就在我的gitee仓库里面了。

请添加图片描述
仓库地址:这呢这呢

到了这步了还不简单???

登录解决了,看看注册:

  public ResultUtils insertUser(User userInfo){
        // 加密密码
        userInfo.setPassword(passwordEncoder.encode(userInfo.getPassword()));
        return ResultUtils.success(userMapper.insert(userInfo));
    }

富贵同学:这个很简单哈,添加用户的时候加密密码就好了啊!!!
注册解决了,更新密码还会远吗?

    public ResultUtils updatePwd(String oldPwd, String newPwd) {
        // 获取当前登录用户信息(注意:没有密码的)
        UserDetails principal = (UserDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        String username = principal.getUsername();

        // 通过用户名获取到用户信息(获取密码)
        User userInfo = this.getUserInfo(username);

        // 判断输入的旧密码是正确
        if (passwordEncoder.matches(oldPwd, userInfo.getPassword())) {
            UpdateWrapper<User> wrapper = new UpdateWrapper<>();
            wrapper.lambda().eq(User::getUserName, username);
            //加密新密码
            String encode = passwordEncoder.encode(newPwd);
            userInfo.setPassword(encode);
            userMapper.update(userInfo, wrapper);
        }
        return ResultUtils.success();
    }

4.好了,我们来讲最后一步,权限模块:

   @PreAuthorize("hasAnyRole('test')") // 只能test角色才能访问该方法
    @GetMapping("/test")
    public String test(){
        return "test角色访问";
    }

    @PreAuthorize("hasAnyRole('admin')") // 只能admin角色才能访问该方法
    @GetMapping("/admin")
    public String admin(){
        return "admin角色访问";
    }

这个controller里面的两个接口。
我们需要 @PreAuthorize("hasAnyRole('test')") 来定义该接口的权限。
这个时候我们只需要在user表里面的role_id字段添加用户角色id就行了。

哦!对了!!

请添加图片描述
这里是数据表的数据!!!大家可以测试一下

INSERT INTO `role` VALUES (1, 'admin', NULL, NULL);
INSERT INTO `role` VALUES (2, 'test', NULL, NULL);

INSERT INTO `user` VALUES (1, NULL, 'fugui', '123', 2, NULL, 1, NULL, NULL, 0, NULL, '2021-10-25 10:44:35', NULL);
INSERT INTO `user` VALUES (2, NULL, 'admin', '123', 1, NULL, 1, NULL, NULL, 0, NULL, '2021-10-23 15:53:43', NULL);
INSERT INTO `user` VALUES (4, NULL, 'wangfugui', '$2a$10$gpq7aq5CM0JijheXM7M53.SaM/5t6JZFa9oTH3HfMIJ3fgT4BWTYO', 1, NULL, 1, NULL, NULL, 0, NULL, '2021-10-25 10:44:40', NULL);

说在之后

师徒系统我会一直更新,因为是开源的项目,所以我也希望又更多的小伙伴加入进来!!
这是程序员师徒管理系统的地址:
程序员师徒管理系统
在这里插入图片描述

掉头发的王富贵
关注
专栏目录
订阅专栏
操作系统安全安全模块.pptx
06-02
安全模块 安全模块 安全模板使用Microsoft管理控制台的安全模板管理单元,您可以创建计算机或网络的安全策略。它是考虑整个系统范围内安全的单点入口点。要将安全模板应用于本地计算机,可以使用”安全配置和分析”或Secedit命令行工具。 1、基本概念 帐户策略 密码策略 帐户锁定策略 Kerberos策略 本地策略 审核策略 用户权限分配 安全选项 事件日志:应用程序、系统安全的事件日志设置 系统服务:系统服务的启动和权限 注册表:注册表项的权限 文件系统:文件夹和文件的权限 安全模块 2、安全模板定义 3、帐户策略 在Windows操作系统中,帐户策略包含三个子集: (1)密码策略:对于域或本地用户帐户,决定密码的设置,如强制性和期限。 (2)帐户锁定策略:对于域或本地用户帐户,决定系统锁定帐户的时间,以及锁定谁的帐户。 (3)Kerberos 策略:对于域用户帐户,决定与 Kerberos 有关的设置,如帐户有效期和强制性。 安全模块 4、本地策略 本地安全策略,是指对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安
Linux系统安全模块Selinux总结
yolo_yyh的博客
11-15 2525
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
我们怎么做开源
风轻扬
11-08 4038
图:数帆开源全景图今年数字+大会上我们第一次比较系统的推出了我们的开源计划(https://sf.163.com/opensource),将“架构开放、内核开源”作为我们的核心战略,尽可能...
一个免费开源的基于java的物业管理系统
05-18
【标题】: "一个免费开源的基于Java的物业管理系统" 这个物业管理系统是基于Java开发的,这意味着它利用了Java的强大功能和跨平台特性,能够运行在多种操作系统上,如Windows、Linux、Mac OS等。Java作为一种面向...
javacms开源源码-vialCMS:VialCMS是一个基于Java开源内容管理系统
05-19
VialCMS是一个基于Java开发开源内容管理系统,其设计目标是提供一个灵活、可扩展的平台,用于构建和管理网站内容。作为一个Java CMS,VialCMS利用了Java语言的强类型、面向对象以及丰富的库支持,确保了系统的稳定...
一个开源的会议管理系统
10-07
在这个系统中,JavaWeb技术发挥着核心作用,它结合了Java的强大功能与Web的便利性,为用户提供了一个全功能的线上会议管理平台。 首先,我们需要理解JavaWeb的概念。JavaWeb是Java技术在Web应用中的应用,它包括...
基于ThinkPHP开发的PHP开源OA办公系统
06-15
`smeoa-master`是基于ThinkPHP开发一个开源OA办公系统实例,包含了完整的源代码,企业可以在此基础上进行二次开发,满足特定业务需求。项目提供了诸如人事管理、财务管理、合同管理、客户关系管理等常见模块,为...
zenyan:zenyan是一个轻量级PHP开发环境-开源
04-26
总的来说,Zenyan作为一个开源的PHP开发环境,尽管不再活跃,但仍能为我们提供关于环境配置、安全管理和社区协作的宝贵经验。开发者应重视环境变量的管理、了解并解决安全问题,同时利用开源的优势,学习和改进现有...
Arthas sysenv(查看JVM的环境变量)
刘大猫
09-21 360
Arthas sysenv(查看JVM的环境变量)
JDK17新增语法特性
2201_76124988的博客
09-20 729
springboot3.0开始,已经不支持JDK8,转变为JDK17参考资料:官方博客。
faiss安装 (CPU版本)
CSDN_WHB的博客
09-20 243
faiss版本 faiss-v1.7.4。
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 1054
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
面试突击-多线程和IO专题(至尊典藏版)
人生若只初相见@的博客
09-18 1805
金九银十多线程和IO大厂面试专题
Mybatis-plus进阶篇(四)
₍˄·͈༝·͈˄*₎◞ ̑̑的博客
09-19 1396
nested 方法是 MyBatis-Plus 中用于构建查询条件的高级方法之一,它用于创建一个独立的查询条件块,不带默认的 AND 或 OR 逻辑。last 方法是 MyBatis-Plus 中用于构建查询条件的高级方法之一,它允许你直接在查询的最后添加一个 SQL 片段,而不受 MyBatis-Plus 的查询优化规则影响。exists 方法是 MyBatis-Plus 中用于构建查询条件的高级方法之一,它用于在查询中添加一个 EXISTS 子查询。这个方法特别适用于需要对数值字段进行减量操作的场景。
2024年9月21日---关于Maven
最新发布
weixin_64513190的博客
09-21 973
1、都是同样的代码,为什么在我的机器上可以编译执行,而在他的机器上就不行?2、为什么在我的机器上可以正常打包,而配置管理员却打不出来?3、项目组加入了新的人员,我要给他说明编译环境如何设置,但是让我挠头的是,有些细节我也记不清楚了。4、我的项目依赖一些jar包,我应该把他们放哪里?放源码库里?5、这是我开发的第二个项目,还是需要上面的那些jar包,再把它们复制到我当前项目的svn库里吧6、现在是第三次,再复制一次吧。----- 这样真的好吗?
Java8的Optional简介
duke_ding2的博客
09-17 1031
Java8的Optional简介
Spring 事务与 MySQL 事务:深度解析与实战指南
果酱 の 博客
09-19 1076
事务是一个逻辑工作单元,它包含了一组数据库操作,这些操作要么全部成功执行,要么全部回滚,以保证数据的一致性和完整性。例如,在银行转账系统中,从一个账户转出资金并转入另一个账户的操作就应该在一个事务中进行,以确保资金的正确转移,不会出现部分操作成功而部分操作失败的情况。Spring 事务与 MySQL 事务的结合为企业级应用开发提供了强大的事务管理功能。
java泛型的概念与好处
yuehua00的专栏
09-19 503
Java泛型是一种强大的类型安全机制,它可以提高代码的复用性和可维护性。通过使用泛型类、泛型方法和泛型接口,开发者可以编写更加清晰、简洁和安全的代码。掌握Java泛型的基本概念和使用方法后,可以进一步探索更高级的泛型特性,如泛型通配符、边界类型等,以实现更加复杂的类型安全需求。
java中加密、编码、摘要相关函数
javajingling的专栏
09-19 825
java中加密、编码、摘要相关函数。ai生成记录查看。
Apache模块开发实战指南:开源技术深度解析
书中特别强调了Apache作为一个核心Web服务器,其模块的重要性,它们可以定制服务器的行为,比如增强安全性、优化性能或者提供特定的功能扩展。读者能够学习到如何编写高效、可维护的模块代码,以及如何与其他开发者...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

掉头发的王富贵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值