SpringCloud-Secruity入门开发(用户以及权限从数据库查)

最新推荐文章于 2021-12-26 18:15:22 发布
最新推荐文章于 2021-12-26 18:15:22 发布
阅读量158 收藏
点赞数
分类专栏: spring secruity SpringCloud SpringBoot 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/if_icanfly/article/details/107557130
版权

在用户以及权限硬编码的基础上整改,将用户以及用户的权限修改成从数据库查询.

硬编码教程SpringCloud-Secruity入门开发(用户以及权限硬编码篇)

具体实现

添加依赖

新增mybatis的依赖,链接数据库的mysql驱动依赖以及lombok的依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.15.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.nlx</groupId>
	<artifactId>springcloud-security</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>springcloud-security</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>

        <!-- mybatis依赖-->
		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
			<version>2.1.3</version>
		</dependency>

        <!--mysql驱动-->
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
		</dependency>
        <!--lombok依赖-->
		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

lombok只是为了待会儿pojo类不用 写getter以及setter等方法而添加的工具插件,不是必须有的依赖.

数据库创建用户及权限表

为了图省事,这里只创建一个用户表,但是表里包含了权限,实际开发中一般不这么做,而是将用户跟权限分开做绑定

CREATE TABLE `user` (
  `id` int NOT NULL AUTO_INCREMENT,
  `name` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
  `password` varchar(64) DEFAULT NULL,
  `authruity` varchar(64) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci

创建pojo/mapper/mapper.xml
user.java

package com.nlx.pojo;

import java.io.Serializable;

import lombok.Data;

@Data
public class User implements Serializable{

	private static final long serialVersionUID = 1L;

	private int id;
	
	private String name;
	
	private String password;
	
	private String authruity;
}

UserMapper.java

package com.nlx.mapper;

import org.apache.ibatis.annotations.Mapper;

import com.nlx.pojo.User;

@Mapper
public interface UserMapper {

	User selectByName(String username);
}

UserMapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.nlx.mapper.UserMapper">
  
   <select id="selectByName" resultType="com.nlx.pojo.User" >
     select * from user where name=#{username}
   </select>
 
</mapper>

 

配置数据链接 以及mybatis的包扫描和mapper.xml位置

mybatis.mapper-locations=classpath:mapper/*Mapper.xml
mybatis.type-aliases-package=com.nlx.pojo

spring.datasource.username=root
spring.datasource.password=nlx@123
spring.datasource.url=jdbc:mysql://localhost:3306/test?serverTimezone=UTC
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver

 

新建service.impl包,并在包里新建实现类,实现UserDetailsService接口

package com.nlx.service.impl;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import com.nlx.mapper.UserMapper;

import lombok.extern.slf4j.Slf4j;

@Slf4j
@Service
public class MyUserDetailsService implements UserDetailsService {

	@Autowired
	private UserMapper userMapper;

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

		// 从数据库查询用户
		com.nlx.pojo.User selectByName = userMapper.selectByName(username);
		log.info("用戶名:" + username);
		// 如果用户不为null
		if (selectByName != null) {
			log.info("用戶名权限:" + selectByName.getAuthruity());
			log.info("用戶密码:" + selectByName.getPassword());
			// 这里的user是org.springframework.security.core.userdetails.User;
			return new User(username, selectByName.getPassword(),
					AuthorityUtils.commaSeparatedStringToAuthorityList(selectByName.getAuthruity()));
			//return new User(username, selectByName.getPassword(),
			//		多个权限的格式
			//		AuthorityUtils.commaSeparatedStringToAuthorityList("p1,p2,p3"));
		}
		// 如果没有这个用户 返回null 由secruity处理异常
		return null;
	}

}

 注入UserMapper从数据库根据用户名查密码以及权限,然后将用户名,密码,权限赋值给UserDetails的子类
org.springframework.security.core.userdetails.User里面 返回就可以,当有多个权限时,用逗号隔开,

配置类MyWebSecruityConfig需要修改的地方如下

package com.nlx.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class MyWebSecruityConfig extends WebSecurityConfigurerAdapter{

	@Override
	protected void configure(HttpSecurity http) throws Exception {
			http
				// 关闭csrf
				.csrf().disable()
				.authorizeRequests()
				// 添加权限
				.antMatchers("/insert").hasAuthority("p1")
				.antMatchers("/delete").hasAuthority("p2")
				// 其他不匹配上面的验证规则的请求都需要被验证
				.anyRequest().authenticated()
				// permitAll()无条件允许访问
				// 开启session管理
				// .and().sessionManagement()
				.and().logout()
				// 基本认证
				// .and().httpBasic();
				// 表单认证
				.and().formLogin();
	}

	/*
	@Bean
	protected UserDetailsService userDetailsService() {
		InMemoryUserDetailsManager im = new InMemoryUserDetailsManager();
		im.createUser(User.withUsername("zhansan").password("123").authorities("p1").build());
		im.createUser(User.withUsername("lisi").password("123").authorities("p2").build());
		return im;
	}*/
	 
	@Bean
	PasswordEncoder passwordEncoder() {
		/**
		 * 	secriuty默认对密码进行了BCrypt加密
		 * 	我们这里暂时不加密密码
		 */
		//return new BCryptPasswordEncoder();
		return NoOpPasswordEncoder.getInstance();
	}
}

注释或者删除userDetailsService方法即可。

测试
数据库添加用户及权限

重启项目

 由上图可以看出我们给用户test分配了p1权限,而访问/delete需要p2权限,如果test用户访问不到/delete,但是能访问到其他的接口则表示我们的配置是ok的
浏览器访问http://localhost:8080/delete,跳转登录后的访问结果如下。

其他三个接口的访问结果如下 

 
总结

在上面的4个步骤中只有第四步是核心,简单概括就是添加一个实现类MyUserDetailsService实现UserDetailsService接口
并重写方法 loadUserByUsername(String username)我们在这个方法里面去查数据库返回密码以及权限封装给
org.springframework.security.core.userdetails.User返回即可,至于验证的过程交给Secruity去做。这里添加了这个实现,就需要我们删除在配置文件写死在内存中的用户。
关于密码加密问题:
secruity默认使用的加密是BCryptPasswordEncoder加密,如果配置文件中配置了加密方式(一定要配置加密方式),相对应的 如果我们存在数据库的密码是明文,则返回验证的时候需要手动加密,否则匹配不上会一直报密码或用户名错误。

package com.nlx.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class MyWebSecruityConfig extends WebSecurityConfigurerAdapter{

	@Override
	protected void configure(HttpSecurity http) throws Exception {
			http
				// 关闭csrf
				.csrf().disable()
				.authorizeRequests()
				// 添加权限
				.antMatchers("/insert").hasAuthority("p1")
				.antMatchers("/delete").hasAuthority("p2")
				// 其他不匹配上面的验证规则的请求都需要被验证
				.anyRequest().authenticated()
				// permitAll()无条件允许访问
				// 开启session管理
				// .and().sessionManagement()
				.and().logout()
				// 基本认证
				// .and().httpBasic();
				// 表单认证
				.and().formLogin();
	}
	 
        //这个bean不能少否则后台报错
	@Bean
	PasswordEncoder passwordEncoder() {
		//secriuty默认对密码进行了BCrypt加密
		return new BCryptPasswordEncoder();
	}
}

如果我们配置文件对密码加密配置为BCryptPasswordEncoder,那么在MyUserDetailsService中就需要对密码进行加密(因为我们存数据库的密码是明文的,不是BCryptPasswordEncoder加密的)

package com.nlx.service.impl;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import com.nlx.mapper.UserMapper;

import lombok.extern.slf4j.Slf4j;

@Slf4j
@Service
public class MyUserDetailsService implements UserDetailsService {

	@Autowired
	private UserMapper userMapper;

//注入配置文件密码加密的bean
	@Autowired
	private PasswordEncoder encode;
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		com.nlx.pojo.User selectByName = userMapper.selectByName(username);
		log.info("用戶名:" + username);

		if (selectByName != null) {
			log.info("用戶名权限:" + selectByName.getAuthruity());
			log.info("用戶密码:" + selectByName.getPassword());
			// 在这里的密码进行加密
			return new User(username, encode.encode(selectByName.getPassword()),
		AuthorityUtils.commaSeparatedStringToAuthorityList(selectByName.getAuthruity()));	
		}
		return null;
	}

}

修改的地方是注入的配置文件里面创建的用于密码加密的bean以及将数据库查出来的明文密码进行加密后再封装。

if_icanfly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot-secruity.zip
01-30
Spring Security测试所需的文件,可用于spring security入门的学习测试,本文档来自于狂神说java系列课程秦疆老师的课堂测验所用,感谢秦疆老师java全栈开发的教导。本文件只用于测试无其他用途
Spring Secruity 项目中用到的包整理
03-21
6. `org.springframework.jdbc-3.0.5.RELEASE.jar`: 该包提供了与JDBC数据库访问的抽象层,Spring Security可以利用它来存储用户凭证和权限信息,例如使用JDBC Realm实现认证。 7. `org.springframework.core-3.0.5...
Spring-Security连接数据库
weixin_44281208的博客
08-21 1069
Spring Security连接数据库 我们先随便创建一个数据库 导入我们security的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <
Springboot-Securiry快速讲解
javaeEEse的博客
06-17 437
简介: Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: webSecurityConfigurerAdapter:自定义Security策略. AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启We
spring-security--基础--4.3--案例:用户登录认证(数据库用户)
zhou920786312的博客
10-27 486
六、用户登录认证(数据库用户) 通过SpringSecurity实现以下功能: 数据库user表有2个用户用户密码) admin: admin user: admin 实现用户登录功能 结构 6.1、 依赖 <!--security begin--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId&gt
SpringSecurity入门
weixin_45264992的博客
05-20 566
SpringSecurity简单入门,新手易懂 1、要实现SpringSecurity的功能,首先我们要去继承WebSecurityConfigurerAdapter类! 2、认证。 重写configure(AuthenticationManagerBuilder auth) 方法,对用户进行认证 如:用户名=小白说Java,密码=123456,认证以此信息登陆者为vip1和vip2角色,一个用户可以认证多个角色 //用户认证 @Override protected void con
SpringCloud-Secruity入门开发(授权的两种方式)
if_icanfly的博客
07-24 313
本篇主要简单介绍一下secruity的两种授权方式: 一种是基于url的授权,也称web授权。 另一种是基于方法的授权。 web授权(根据url进行授权) 在Secruity的配置文件中有如下的代码 package com.nlx.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org..
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础权限登陆系统
05-07
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础登陆代码 ...密码使用springsecruity提供的加密方式加密 前端使用thymeleaf+bootstrap 提供登陆后成功页面 sql文件在db下 仅供学习参考
Python-EmailEnum搜索主流网站并告诉您是否注册了电子邮件
08-10
这个工具在网络安全、信息secruity和隐私保护的背景下非常有用,它可以帮助用户了解自己的邮箱是否被用于不同的在线服务,从而评估可能的数据泄露风险。 Email-Enum是用Python编程语言编写的,这表明它利用了Python...
SpringBoot整合Security
qq_55917018的博客
12-26 1676
Security作为Spring的官方安全框架,自然为SpringBoot提供了起步依赖(Starter),有了起步依赖,我们只要添加少量的Java配置,就可以把Security集成SpringBoot项目中。
springcloud如何做权限管理(springsecurity)
m0_37635053的博客
12-16 5792
springcloud如何做权限管理(springsecurity+auth2)? 先看一张脉络图: 现在呢一步一步开始做: 第一步:配置zuul网关 在zuul网关里带上请求头,不做拦截 @Component @Slf4j public class AuthFilter extends ZuulFilter { /** * 具体的过滤逻辑 * 本例中,检请求的参数中是...
SpringBoot Security的介绍
weixin_43328816的博客
04-16 1622
1.SpringBoot security框架的简介 SpringBoot security是基于spring框架的,提供了一套Web应用安全性完整的解决方案。 SpringBoot重要的核心功能: 用户认证和用户授权: 2.SpringBoot+spring security 入门的案例: 1.创建一个springboot的项目 编写一个controller: package com.lsy.controller; import org.springframework.we
Java开发手册》学习总结
qq_38586378的博客
08-18 2843
前言 实际开发以来,总是觉得自己的代码不够优雅,但是往往学习的对象只单纯是同组/前人的代码以及自己的惯用编程习惯,后续发现阿里有出《Java开发手册》,便下了华山版进行学习并记录。学习完后上阿里云官网发现后续出了泰山版和嵩山版,进行简单对比后补充。 参考资料: 《Java开发手册-华山版》 《Java开发手册-泰山版》 《Java开发手册-嵩山版》 下载链接:https://developer.aliyun.com/topic/java20?spm=a2c6h.12873581.0.0.e407
There is no PasswordEncoder mapped for the id "null" 的解决办法
风雨断肠草的博客
11-19 4339
如下图所示: 解决办法: 关于 Spring Security 5.0.X 的说明: 在Spring Security 5.0之前,PasswordEncoder 的默认值为 NoOpPasswordEncoder 既表示为纯文本密码,在实际的开发过程中 PasswordEncoder 大多数都会设值为 BCryptPasswordEncoder ,但是这样会导致几个问题: 1、...
There is no PasswordEncoder mapped for the id “null“
weixin_39587245的博客
09-07 110
官方文档 spring secruity 5.x版本 找了许多文章 发现都是说 给AuthenticationManagerBuilder修改至以下代码 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { super.configure(auth); auth.userDetailsService(usrDetailService)
spring-cloud-starter-security和spring-cloud-starter-oauth2
热门推荐
qq_30359369的博客
12-02 2万+
之前学过spring-security,最近又在学习spring-cloud-starter-security和spring-cloud-starter-oauth2, 脑子里顿时冒出一个问题: 之前学的spring-security和最近学的spring-cloud-starter-security有什么关系, spring-cloud-starter-security和spring-clou......
Spring Cloud 安全:集成OAuth2的数据库方式实现
王浩的技术博客
07-26 8839
在前面的一篇文章《Spring Cloud 安全:集成OAuth2实现身份认证和单点登录》中介绍了如何在Spring Cloud 微服务中集成OAuth2协议实现云的安全特性。在这个例子中使用的是内存数据库,如果你的系统是运行在生产环境中,并且拥有多个服务器实例时,很可能不希望使用内存来存储用户令牌。你或许需要在某个中心位置(具有一定程度的分布式一致性)来存储每个用户帐户的OAuth数据。最简单的...
springsecruity
最新发布
07-28
Spring Security是一个开源的身份验证和授权框架,它为Java应用程序提供了一种简单且灵活的方式来处理身份验证、授权、密码管理和会话管理等安全相关的任务。 Spring Security基于Servlet过滤器和Spring框架提供的AOP(面向切面编程)功能,可以与Spring应用程序无缝集成。 它提供了一套丰富的功能,包括: 1. 身份验证(Authentication):Spring Security支持多种身份验证方式,如基于表单的身份验证、基于HTTP基本认证、基于LDAP等。 2. 授权(Authorization):Spring Security提供了一套细粒度的授权机制,可以通过注解或配置来限制用户对特定资源的访问。 3. 密码管理:Spring Security提供了一套安全的密码管理机制,可以帮助开发者更好地处理密码的存储和验证。 4. 会话管理:Spring Security支持多种会话管理方式,如基于Cookie的会话管理、基于URL重写的会话管理等。 5. 防止常见的安全攻击:Spring Security提供了对常见安全攻击的防护机制,如CSRF(跨站请求伪造)、点击劫持、会话固定攻击等。 总之,Spring Security是一个功能强大且易于使用的安全框架,可以帮助开发者轻松地集成安全功能到他们的Java应用程序中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值