用户与角色 Springboot + Security + Mybatis

最新推荐文章于 2023-10-27 15:03:01 发布
最新推荐文章于 2023-10-27 15:03:01 发布
阅读量196 收藏
点赞数 1
分类专栏: Springboot 文章标签: springboot spring security mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34548699/article/details/100856762
版权

用户与角色 Springboot + Security + Mybatis

安全认证与授权包括基于内存的认证,基于数据库的认证,高级配置
基于内存的认证是直接将用户名,密码,和用户与角色的url授权信息直接写在配置文件中,不需要读取数据库;
基于数据库的认证则是从数据库中直接读取用户名和密码,用户与角色的url授权信息仍然写在配置文件中;
高级配置中将这三条信息都存在数据库表中,为的是实现动态配置URL权限。
配置Security重点在于WebSecurityConfigurerAdapter
本文代码参考《Spring Boot + Vue 全栈开发实战》王松 第十章

基于内存的认证

  1. 添加security依赖
 		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
  1. 自定义WebSecurityConfigurerAdapter
@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder(10);//密码加密方式,BCrypt强哈希函数
    }
    @Override//配置三名用户的的角色和密码,密码明文全是123
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("root").password("$2a$10$yKbvsbp.mwbBmon34q3k/uZdXWbsh/8tDkChKqAbq/3xm7xC2VCTi").roles("ADMIN","DBA")
                .and()
                .withUser("admin").password("$2a$10$bvW.9j56BG0XPAA8icJQhuU4qUS7zT.lCayiqBry45HqJMajVV2JC").roles("ADMIN","USER")
                .and()
                .withUser("zhsh").password("$2a$10$UCu/YkcMgyvbumqM8unEeOSpDtCVAmCG0pncWS6CxcYSIGpQCcBtm").roles("USER");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")//配置URL的角色要求
                .antMatchers("/user/**").access("hasAnyRole('ADMIN','USER')")
                .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
                .anyRequest().authenticated()
                .and()
                .formLogin().loginProcessingUrl("/login")//开启表单登录
                .usernameParameter("name").passwordParameter("passwd")
                .successHandler(new AuthenticationSuccessHandler() {//登录成功的一段JSON提示
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp,
                                                        Authentication auth) throws IOException {
                        Object principal = auth.getPrincipal();
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        resp.setStatus(200);
                        Map<String,Object> map = new HashMap<>();
                        map.put("status",200);
                        map.put("msg",principal);
                        ObjectMapper om = new ObjectMapper();
                        out.write(om.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {//登录失败的一段JSON提示
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp,
                                                        AuthenticationException e) throws IOException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        resp.setStatus(401);
                        Map<String,Object> map = new HashMap<>();
                        map.put("status",401);
                        if(e instanceof LockedException){
                            map.put("msg","账号被锁定,登录失败!");
                        }else if(e instanceof BadCredentialsException){
                            map.put("msg","账户名或密码输入错误,登陆失败!");
                        }else if(e instanceof DisabledException){
                            map.put("msg","账号被禁用,登陆失败!");
                        }else if(e instanceof AccountExpiredException){
                            map.put("msg","账户已过期,登陆失败!");
                        }else if(e instanceof CredentialsExpiredException){
                            map.put("msg","密码已过期,登陆失败!");
                        }else{
                            map.put("msg","登录失败!");
                        }
                        ObjectMapper om = new ObjectMapper();
                        out.write(om.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                .logout().logoutUrl("/logout")//开启注销登录
                .clearAuthentication(true).invalidateHttpSession(true)
                .addLogoutHandler(new LogoutHandler() {
                    @Override
                    public void logout(HttpServletRequest req, HttpServletResponse resp, Authentication auth) { }
                })
                .logoutSuccessHandler(new LogoutSuccessHandler() {//注销成功后的业务逻辑
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp,
                                                Authentication auth) throws IOException {
                        resp.sendRedirect("/loginPage");
                    }
                })
                .and()
                .csrf().disable();//关闭csrf,跨站请求伪造
    }
}
  1. 编写controller进行授权测试
@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello(){
        return "Hello!";
    }
    @GetMapping("/admin/hello")
    public String admin(){
        return "hello admin";
    }
    @GetMapping("/user/hello")
    public String user(){
        return "hello user";
    }
    @GetMapping("/db/hello")
    public String dba(){
        return "hello dba";
    }
    @GetMapping("/loginPage")
    public ModelAndView loginPage(){
        ModelAndView mv = new ModelAndView("index");
        return mv;
    }
}

基于数据库的认证

  1. 设计数据表
    user,role,user_role三张表
  2. 创建实体类
//因为UserDetails自带Boolean类型的isEnabled函数,会与@Data中的getEnabled有冲突,所以不能使用@Data
public class User implements UserDetails {
    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean locked;
    private List<Role> roles;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role: roles){
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    @Override
    public String getPassword() {return password;}

    @Override
    public String getUsername() {  return username;  }

    @Override
    public boolean isAccountNonExpired() {  return true;  }

    @Override
    public boolean isAccountNonLocked() { return !locked;  }

    @Override
    public boolean isCredentialsNonExpired() {return true;  }

    @Override
    public boolean isEnabled() { return enabled; }
    public void setEnabled(Boolean enabled) { this.enabled = enabled;    }
    public Integer getId() {  return id; }
    public void setId(Integer id) { this.id = id;  }
    public void setUsername(String username) {  this.username = username;    }
    public void setPassword(String password) { this.password = password;    }
    public Boolean getLocked() {  return locked;    }
    public void setLocked(Boolean locked) {this.locked = locked;    }
    public List<Role> getRoles() {  return roles;    }
    public void setRoles(List<Role> roles) {  this.roles = roles;    }
}


@Data
public class Role {
    private Integer id;
    private String name;
    private String nameZh;
}
  1. 添加依赖与配置
   <!--添加MyBatis依赖-->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>1.3.1</version>
        </dependency>
        <!--添加mysql依赖-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <!--添加数据库连接池-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.10</version>
        </dependency>

######## 数据库配置 ########
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.url=jdbc:mysql://localhost:3306/test?serverTimezone=UTC
spring.datasource.username=root
spring.datasource.password=123
spring.datasource.tomcat.max-idle=10
spring.datasource.tomcat.max-active=50
spring.datasource.tomcat.max-wait=10000
spring.datasource.tomcat.initial-size=5
# 采用隔离级别为读写提交
spring.datasource.tomcat.default-transaction-isolation=2

######### MyBatis配置 ########
# 映射文件
mybatis.mapper-locations=classpath:com/mhr/mhr/security/mapper/*.xml
  1. 创建dao与mapper
//dao
@Mapper
public interface UserMapper {
    User loadUserByUsername(String username);
    List<Role> getUserRolesByUid(Integer id);
}

//mapper
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper  PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mhr.mhr.security.dao.UserMapper">
    <select id="loadUserByUsername" resultType="com.mhr.mhr.security.pojo.User">
        select * from user where username=#{username}
    </select>
    <select id="getUserRolesByUid" resultType="com.mhr.mhr.security.pojo.Role">
        select * from role r,user_role ur where r.id=ur.rid and ur.uid=#{id}
    </select>
</mapper>
  1. 创建service与controller
@Service
public class UserService implements UserDetailsService {
    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(s);
        if (user==null){
            throw new UsernameNotFoundException("账户不存在!");
        }
        user.setRoles(userMapper.getUserRolesByUid(user.getId()));
        return user;
    }
}

@RestController
public class UserController {
    @Autowired
    UserService userService;
    @GetMapping("/loadUserByUsername")
    public User loadUserByUsername(String username){
        return (User) userService.loadUserByUsername(username);
    }
}
  1. 配置Spring Security
@Configuration
public class WebSecurityConfig2 extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;

    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    @Override	//将UserService配置到AuthenticationManagerBuilder中,没有配置内存用户
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/user/**").hasRole("dba")
                .antMatchers("/db/**").hasRole("user")
                .anyRequest().authenticated()
                .and()
                .formLogin().loginProcessingUrl("/login").permitAll()
                .and()
                .csrf().disable();
    }
}

高级配置

动态配置url权限

  1. 添加数据表
    menu,menu_role
  2. 编写dao和mapper
//dao
@Mapper
public interface MenuMapper {
    List<Menu> getAllMenus();
}
//mapper
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper  PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mhr.mhr.security.dao.MenuMapper">
    <resultMap id="BaseResultMap" type="com.mhr.mhr.security.pojo.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"/>
        <collection property="roles" ofType="com.mhr.mhr.security.pojo.Role">
            <id property="id" column="id"/>
            <result property="name" column="rname"/>
            <result property="nameZh" column="rnameZh"/>
        </collection>
    </resultMap>
    <select id="getAllMenus" resultMap="BaseResultMap">
        select m.*,r.id as rid,r.name as rname,r.nameZh as rnameZh
        from menu m
        left join menu_role mr on m.`id`=mr.`mid`
        left join role r on mr.`rid`=r.`id`
    </select>
</mapper>
  1. 自定义FilterInvocationSecurityMetadataSource
//主要实现接口中的getAttributes方法
@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuMapper menuMapper;
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation)o).getRequestUrl();
        List<Menu> allMenus = menuMapper.getAllMenus();
        for (Menu menu: allMenus){
            if(antPathMatcher.match(menu.getPattern(),requestUrl)){	//ant风格的url匹配
                List<Role> roles = menu.getRoles();
                String[] roleArr = new String[roles.size()];
                for (int i = 0; i < roleArr.length; i++){
                    roleArr[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(roleArr);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {   return null;    }
    @Override
    public boolean supports(Class<?> aClass) {  return FilterInvocation.class.isAssignableFrom(aClass);    }
}
  1. 自定义AccessDecisionManager
// 进行角色信息的比对
@Component
public class CustomAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication auth, Object o, Collection<ConfigAttribute> ca){
        Collection<? extends GrantedAuthority> auths = auth.getAuthorities();
        for (ConfigAttribute configAttribute : ca){
            if("ROLE_LOGIN".equals(configAttribute.getAttribute())
                    && auth instanceof UsernamePasswordAuthenticationToken){
                return;
            }
            for (GrantedAuthority authority: auths){
                if (configAttribute.getAttribute().equals(authority.getAuthority())){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }
    @Override
    public boolean supports(ConfigAttribute configAttribute) {  return true;    }
    @Override
    public boolean supports(Class<?> aClass) {return true;    }
}
  1. 配置Spring Security
@Configuration
public class WebSecurityConfig3 extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setSecurityMetadataSource(cfisms());
                        o.setAccessDecisionManager(cadm());
                        return o;
                    }
                })
                .and()
                .formLogin().loginProcessingUrl("/login").permitAll()
                .and()
                .csrf().disable();
    }
    @Bean
    CustomFilterInvocationSecurityMetadataSource cfisms(){  return new CustomFilterInvocationSecurityMetadataSource();    }
    @Bean
    CustomAccessDecisionManager cadm(){  return new CustomAccessDecisionManager();    }
}
大胖小呀
关注
专栏目录
springBoot+security+mybatis 实现用户权限的数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
通用权限管理系统+springboot+mybatis plus+spring security+jwt+redis+mysql
05-30
实现对用户访问资源的控制,可以通过将权限与角色进行关联。 系统实现主要包括用户登录、权限验证、角色管理、权限管理、资源管理等功能。当用户尝试登录时,系统会通过核实其用户名和密码来确认其身份。权限验证时...
spring boot+spring security +mybatis
qq_41593903的博客
07-21 1742
流程不写了 自己spring官网学去 我也是没人嘻嘻嘻嘻~~~ 话不多说直接发代码 工程目录 application.properties spring.datasource.url=jdbc:mysql://localhost:3306/test_db?useUnicode=true&amp;characterEncoding=utf-8 spring.datasource.use...
springboot+mybatis+spring security
m0_37556124的博客
07-05 1874
1、不啰嗦,直接上干货 首先新建项目springboot-security导入需要的maven坐标 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.3.0.RE
SpringBoot系列—mybatis和spirng security
jeofey的专栏
06-28 2264
Spring 结合mybatis,以及Spring Security实现用户认证(Authentication)和授权(Authorization)功能.Spring Security是专门针对基于Spring项目的 安全框架,充分利用依赖注入和AOP来实现安全功能。Spring Boot针对Spring Security 的自动配置主要是靠SecurityAutoConfigation和Sec
Spring Boot + Security + Mybatis 简单权限控制(入门 + 记录篇)
温故而知新,可以为师矣。
08-22 9234
Spring Boot Security 权限 这两天研究了一下权限管理框架。。 查阅资料的过程中,JAVA中常用的安全框架有Shiro和Spring Security。Shiro比Spring Security学习起来更加简单,功能够用。而这两天的学习中,就我自己的体会而言,学习Spring Security还是有一定难度的。虽然它的扩展性非常的好,我们可以重载它默认的类,重写方法...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
通过Spring Boot的便捷性,Spring Security的安全性,JWT的无状态认证,MyBatis-Plus的高效数据操作,以及MySQL的稳定存储,实现了用户登录、角色分配、权限验证等功能,为开发人员提供了一个可参考的权限管理解决...
基于springBoot + mybatis +vue的会员管理和营销系统源码.zip
10-03
SpringBootSecurity模块可以提供这些功能,确保用户数据的安全。 **6. 权限控制** 系统可能还涉及到权限控制,如角色权限分配,不同的角色(如管理员、普通会员)有不同的操作权限。这可以通过SpringBoot的权限...
Java项目:酒店管理系统(java+SpringBoot+MyBatis-Plus+Html+Thymleaf+Mysql)
最新发布
01-08
角色:管理员、前台工作人员、保洁阿姨、客户 四种角色 客户功能: 客户注册、登录、找回密码 留言板查看和留言 浏览客房,根据入住日期和退房日期查询和预定客房 支付订单,支付已对接了支付宝沙箱支付,可可以...
基于Springboot+Mybatis+ SpringMvc+springsecrity+Redis完整网站后台管理系统
10-31
项目描述 说明: spring security 全注解式的权限管理 动态配置权限,角色和资源,权限控制到...Springboot+Mybatis+ SpringMvc+springsecrity+Redis+bootstrap+jquery 数据库文件 压缩包内 jar包文件 maven搭建
spring-boot mybaits spring security redis整合
05-14
主要功能如下: ===== 1、数据库 ====== Druid数据库连接池,监控数据库访问性能,详细统计SQL的执行性能,这对于线上分析数据库访问性能有帮助。 数据库密码加密。 2、持久层 ====== mybatis持久化,PageHelper分页。Transtraction注解Jta事务。 3、MVC ====== 基于spring mvc注解。Exception统一管理。 spring security权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,Spring-session和redis实现分布式session同步(建议按功能模块划分系统)。 6、日志 =========== logback打印日志,业务日志和调试日志分开打印。同时基于时间和文件大小分割日志文件。 9、项目构建 =========== mybatis generator生成mybatis映射文件。 请先安装eclipse mybatis-generator插件。 10、其它 =========== >####说明:启动项目前请安装Redis,并启动服务,系统中均使用默认配置。 打war包:(dev、test、prod)指定配置文件 mvn clean package -Dmaven.test.skip=true -P test
MyBatis 三表外关联查询的实现(用户角色、权限)
08-18
主要介绍了MyBatis 三表外关联查询的实现(用户角色、权限),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring-boot整合securitymybatis-plus代码
12-29
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean。
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础权限登陆系统
05-07
SpringBoot2.0+SpringSecurity5.1.5.RELEASE+MybatisPlus3.1.1的基础登陆代码 登陆账号123 密码123 密码使用springsecruity提供的加密方式加密 前端使用thymeleaf+bootstrap 提供登陆后成功页面 sql文件在db下 仅供学习参考
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager
SpringBoot整合SpringSecurity+MyBatis
陆卿之的博客
10-27 510
SpringBoot整合SpringSecurity 进行的登录拦截,用户权限操作
springboot整合spring security + MybatisPlus入门
SampsonKong的博客
02-03 1110
springboot整合spring security + MybatisPlus入门
springboot-整合mybatissecurity
lpfasd123的博客
09-04 245
最近做项目用到springboot整合mybatissecurity。将其中遇到的问题做一个总结注:本项目全程无xml文件,使用注解来添加配置。注:本项目使用Gradle进行构建。build.gradle buildscript { ext { springBootVersion ='1.5.6.RELEASE'    } repositories { ...
springboot+mybatis+springsecurity
klz
02-19 162
springboot+mybatis+springsecurity 参考博客: https://blog.csdn.net/yuanlaijike/category_9283872.html
Springboot+ SpringSecurity+mybatis详细叙述功能
05-27
当我们使用SpringBoot + Spring Security + MyBatis进行Web应用程序的开发时,通常会涉及以下几个方面的功能: 1. 用户认证和授权:Spring Security是一个强大的安全框架,可以帮助我们实现用户认证和授权功能。它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值