Spring Security(二)基于数据库认证鉴权解决方案

最新推荐文章于 2024-05-15 17:22:58 发布
最新推荐文章于 2024-05-15 17:22:58 发布
阅读量553 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring boot java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/douya2016/article/details/108221918
版权

项目介绍

Spring Boot + Spring Security + mysql,基于数据库的认证鉴权实现;

代码地址:https://github.com/xdouya/Spring-Security-demo/tree/master/02-jdbc-security

项目目录结构:
在这里插入图片描述

项目构建

数据表创建及用户数据导入
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `username` varchar(50) NOT NULL,
  `password` varchar(500) NOT NULL,
  `enabled` tinyint(1) NOT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB;

INSERT  IGNORE INTO `users` VALUES ('admin','{bcrypt}$2a$10$SAqQq0WEQYRA4etZpRa6e.Kew0sKKtC/ahFrSZXS1iHsy5EhZqLsa',1),('user','{bcrypt}$2a$10$SAqQq0WEQYRA4etZpRa6e.Kew0sKKtC/ahFrSZXS1iHsy5EhZqLsa',1),('vip','{bcrypt}$2a$10$SAqQq0WEQYRA4etZpRa6e.Kew0sKKtC/ahFrSZXS1iHsy5EhZqLsa',1);

DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) NOT NULL,
  UNIQUE KEY `ix_auth_username` (`username`,`authority`),
  CONSTRAINT `fk_authorities_users` FOREIGN KEY (`username`) REFERENCES `users` (`username`)
) ENGINE=InnoDB;

INSERT  IGNORE INTO `authorities` VALUES ('admin','ROLE_admin'),('user','ROLE_user'),('vip','ROLE_vip');
Maven依赖
  • pom.xml
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-jdbc</artifactId>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactId>
        <version>1.1.10</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-devtools</artifactId>
        <scope>runtime</scope>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
        <exclusions>
            <exclusion>
                <groupId>org.junit.vintage</groupId>
                <artifactId>junit-vintage-engine</artifactId>
            </exclusion>
        </exclusions>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>
项目构建
  • application.yml
spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://192.168.0.103:3306/security_sso?useUnicode=true&characterEncoding=utf8&allowPublicKeyRetrieval=true&useSSL=false
    username: root
    password: '088114'
  • SecurityConfig
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private DataSource dataSource;

    @Autowired
    public SecurityConfig(DataSource dataSource){
        this.dataSource = dataSource;
    }

    /**
     * 配置拦截器保护请求
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/vip/**").hasRole("vip")
                .antMatchers("/user/**").hasRole("user")
                .anyRequest().authenticated()
                .and().formLogin()
                .and().httpBasic();
    }

    /**
     * UserDetailsService 用户名,密码,以及其他属性的查找,Spring Security提供内存以及JDBC实现
     */
    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager(dataSource);
        jdbcUserDetailsManager.setDataSource(dataSource);
        return jdbcUserDetailsManager;
    }

    /**
     * 根据自动匹配密码编码器
     * @return PasswordEncoder
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}
  • 上述配置中配置了一个JdbcUserDetailsManager去数据库查询用户信息;JdbcUserDetailsManager继承了JdbcDaoImpl接口,定义了一些默认的对用户进行增删改查的sql语句,并实现了UserDetailManager接口;
    在这里插入图片描述
  • JdbcDaoImpl中实现了UserDetalService方法中的loadUserByUsername查询用户信息的方法,并使用的是图中内嵌的sql语句,也就是为什么我们要创建user表以及authorities表,以及为什么表中的需要哪些字段;

在这里插入图片描述

  • 判断角色是由拥有访问权限是在RoleVoter类中进行判断的,从源码中可以得知,该类定义了一个ROLE_的前缀,在角色验证时,会自动加上这个ROLE前缀
    在这里插入图片描述
  • HelloController
@RestController
public class HelloController {

    @GetMapping("/")
    public String hello(){
        return "hello, welcome";
    }

    @GetMapping("/admin/hello")
    public String helloAdmin(){
        return "hello admin";
    }

    @GetMapping("/vip/hello")
    public String helloVip(){
        return "hello vip";
    }

    @GetMapping("/user/hello")
    public String helloUser(){
        return "hello user";
    }
}
  • JdbcApplication
@SpringBootApplication
public class JdbcApplication {

    public static void main(String[] args) {
        SpringApplication.run(JdbcApplication.class, args);
    }

}

项目测试

​ 使用不同账号(账号admin或者user或者vip, 密码088114)访问http://localhost:8080/admin/hello、http://localhost:8080/user/hello、http://localhost:8080/vip/hello 来查看给个角色访问时的授权情况;

拓展

​ 使用自动的JdbcUserDetailsManager实现基于数据库的认证能够满足一些简单认证鉴权需求,但是对于复杂认证鉴权需求,可能需要我们自定义数据的查询方式;

​ 下一节介绍Spring Security(三)自定义查询过程的解决方案

dy豆芽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js 入门详解(四)
←か淡定☆ ヾ 的博客
10-07 547
数据库与身份认证1. 数据库的基本概念1.1 什么是数据库1.2 常见的数据库及分类1.3 传统型数据库的数据组织结构1.3.1 Excel的数据组织结构1.3.2 传统型数据库的数据组织结构1.3.3 实际开发中库、表、行、字段的关系2. 安装并配置MySQL2.1 了解需要安装哪些 MySQL 相关的软件2.2 MySQL在 Mac 环境下的安装2.3 MySQL在 Windows 环境下的安装3. MySQL的基本使用3.1 使用 MySQL Workbench 管理数据库3.1.1连接数据库3.1.
spring-secrity动态(数据库)对用户 权限限定以及鉴权
qq_38348645的博客
06-22 416
spring-secrity动态(数据库)对用户 权限限定以及鉴权里写自定义目录标题1、利用spring-security 进行静态权限登录1 创建项目2、导包3、编写简单的测试静态文件4、介绍一下文件的作用总结以及对源码分析:2、spring-security动态(数据库)对用户权限以及鉴权 1、利用spring-security 进行静态权限登录 1 创建项目 2、导包 <dependencyManagement> <dependencies>
Spring Security入门基础()——使用数据库鉴权
lmchhh的博客
11-03 738
Spring Security入门基础 文章目录Spring Security入门基础1.5 使用数据库鉴权1.5.1 建表1.5.2 引入依赖1.5.3 配置文件1.5.4 修改用户认证类前1.5.5 修改用户认证类WebSecurityConfiguration1.5.6 登录页面1.5.7 测试 此篇文章为上一篇 Spring Security入门基础 的续作,了解这里的内容需要对上一篇有了解 1.5 使用数据库鉴权 使用数据库鉴权,需要先提前建立好关于权限的表(用户表 sys_user,角色表 sy
什么是鉴权
最新发布
qq_36311209的博客
05-15 189
鉴权也叫身份认证,指验证用户是否有系统的访问权限。就很像我们经常乘坐动车的票据(对应的标识,一定的时间范围)。
数据库权限的设置
weixin_58376680的博客
03-20 1784
授权用户权限是all privilege。这个all privilege都有哪些权限?
笔记——什么是鉴权
weixin_42389222的博客
03-24 4028
前言 鉴权是自动化测试路上的拦路虎;故以此记录鉴权到底是怎么回事。 一、什么是鉴权,为什么要鉴权 鉴权:是指验证用户是否有访问系统的权利。 为什么要鉴权 :对用户进行鉴权,防止非法用户占用网络资源,非法用户接入网络,被骗取关键信息 鉴权方式 HTTP Basic Authentication OAuth(开发授权) session + cookie token 三、session + cookie 1.鉴权流程 ** ** 2. 鉴权过程详解 a、 用户注册的时候,客户端提交用户名和密码,服务端
浅析Spring Security登录验证流程
08-25
SocialAuthenticationFilter实现社交媒体方式登录认证的处理,Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter实现Oauth2的鉴权方式。 、结合源码讲解登录验证流程 我们以...
springboot springsecurity动态权限控制
09-18
Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则提供了全面的安全管理解决方案,包括认证、授权等。在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在...
springboot+jwt+spring-security.rar
05-20
这是一个完整的安全认证解决方案,适用于构建RESTful API服务。 首先,JWT是一种轻量级的身份验证机制,用于在客户端和服务器之间传递认证信息。JWT由三部分组成:Header、Payload和Signature。Header包含了令牌的...
Spring Boot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
06-08
尽可能贴合 Spring Security 的设计 实现注解权限控制 登入: POST 用户名密码到 \login 请求到达 JwtAuthenticationFilter 中的 attemptAuthentication() 方法,获取 request 中的 POST 参数,包装成一个 ...
基于security_oauth2 构建spring cloud网关的安全认证服务
01-16
Spring Cloud作为主流的微服务框架,提供了多种安全解决方案,其中一种就是通过集成Spring Security OAuth2来构建安全认证服务。本篇文章将深入探讨如何利用Spring Security OAuth2在Spring Cloud网关上实现安全控制...
数据和安全之访问授权与鉴权方式
hhbbeijing的专栏
11-08 4719
访问授权(Authorization) 最灵活的保护你应用数据安全的方式是通过访问控制列表(Access Control List),通常简称为「ACL 机制」。ACL 背后的机制是将每个操作授权给一部分 用户(User)或者 角色(Role),只允许这些用户或角色执行这些操作。例如,一个用户必须拥有读权限(或者属于一个拥有读权限的角色)才可以获取一个对象的数据,同时,一个用户需要拥有写权限(或...
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
springsecurity实现数据库动态加载资源鉴权规则以及权限表达式
libiao1994libiao的博客
06-22 983
1:在springsecurity的配置文件中添加配制 @Override protected void configure(HttpSecurity http) throws Exception { http.headers().frameOptions().sameOrigin(); //http.csrf().disable().cors().disable().headers().disable(); http.authorizeRequest
SpringSecurity实现自定义登录认证、权限验证、鉴权
紫眸的博客
04-25 1万+
SpringSecurity实现自定义登录认证、权限验证、鉴权 Demo源码:https://github.com/ygsama/ipa 自定义登录认证的实现需要实现三个接口 UserDetails 用户类接口 UserDetailsService 查询用户密码的service 接口 AuthenticationProvider 为认证管理器AuthenticationManager 提供验证 自定义权限验证时也需要实现三个接口:
鉴权是啥子
weixin_57633124的博客
05-25 3875
今天无意中了解到了鉴权所以来写一下子,以便回顾 ~~~ 一、鉴权的含义 鉴权 是指验证用户是否拥有访问系统的权利。 最传统的鉴定是密码,如果想是用这种方式的话,必须保证获得此密码的用户已经被授权。这就需要在建立用户的时候为此用户分配一个密码是,用户的密码可以是管理员进行指定,也可以是用户自己申请设置,但是这种方式比较麻烦而且一旦遗失密码就得管理员重新修改,修改密码之前还需要人工验证比较麻烦,所以为了规避这种缺点,我们目前的主流鉴权方法方式是利用认证授权来验证数字签名的正确与否。 鉴权的类别 1
SpringSecurity(2-security入门-基于JDBC+资源方式的认证和授权的学习)
乐百寿
09-05 345
在上一节中授权是基于内存的授权。在实际生产中用户信息时存在数据库中的,所以在这里进行改造,用户信息不在代码写死; 第一步:修改配置类,注掉基于内存的配置 @EnableWebSecurity @Configuration public class webSecurityConfig extends WebSecurityConfigurerAdapter { //密码编译比对方式 @Bean public BCryptPasswordEncoder passwordEncoder()
鉴权的四种方式
Raily_Qi的博客
12-24 5881
前后端常见的几种鉴权方式 HTTP Basic Authentication session-cookie Token OAuth HTTP Basic Authentication session-cookie Token token 是一个令牌,浏览器第一次访问服务端时会签发一张令牌,之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效,只要服务端可以解密该令牌,就说明请求是合法的,...
SpringSecurity基于数据库认证
08-31
- *2* [SpringSecurity 基于数据库的验证](https://blog.csdn.net/qq_41723615/article/details/89512333)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值