spring security 基于数据库的认证

最新推荐文章于 2024-05-05 09:19:16 发布
最新推荐文章于 2024-05-05 09:19:16 发布
阅读量310 收藏 1
点赞数
分类专栏: spring security springboot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35644307/article/details/110244994
版权

学习本篇文章之前一定 要具备spring security的基础知识,可以参考:security基础学习

上篇文章我们spring security登录的用户与密码是手动进行设置的,有两种方式:一种是application.properies文件中设置,还有一种是java配置类里进行设置。但是我们在实际的项目开发里一般都会利用数据库进行用户权限认证,这样也有利于用户权限的动态更改。

本篇文章虽然篇幅较长,但是请大家耐心读下,最好可以动下手把这个demo给实现。

实战

(1)创建web项目,引入security、web 、mysql、mybatis与druid依赖即可(druid手动进行配置),
在这里插入图片描述
pom.xml配置如下:

<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
			<version>2.1.4</version>
		</dependency>

		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>druid-spring-boot-starter</artifactId>
			<version>1.1.10</version>
		</dependency>
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-test</artifactId>
			<scope>test</scope>
		</dependency>

(2)在navicate执行sql脚本

CREATE DATABASE /*!32312 IF NOT EXISTS*/`security` /*!40100 DEFAULT CHARACTER SET utf8 */;

USE `security`;

/*Table structure for table `menu` */

DROP TABLE IF EXISTS `menu`;

CREATE TABLE `menu` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `pattern` varchar(128) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

/*Data for the table `menu` */

insert  into `menu`(`id`,`pattern`) values 
(1,'/db/**'),
(2,'/admin/**'),
(3,'/user/**');

/*Table structure for table `menu_role` */

DROP TABLE IF EXISTS `menu_role`;

CREATE TABLE `menu_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `mid` int(11) DEFAULT NULL,
  `rid` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

/*Data for the table `menu_role` */

insert  into `menu_role`(`id`,`mid`,`rid`) values 
(1,1,1),
(2,2,2),
(3,3,3);

/*Table structure for table `role` */

DROP TABLE IF EXISTS `role`;

CREATE TABLE `role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(32) DEFAULT NULL,
  `nameZh` varchar(32) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

/*Data for the table `role` */

insert  into `role`(`id`,`name`,`nameZh`) values 
(1,'ROLE_dba','数据库管理员'),
(2,'ROLE_admin','系统管理员'),
(3,'ROLE_user','用户');

/*Table structure for table `user` */

DROP TABLE IF EXISTS `user`;

CREATE TABLE `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(32) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  `enabled` tinyint(1) DEFAULT NULL,
  `locked` tinyint(1) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

/*Data for the table `user` */

insert  into `user`(`id`,`username`,`password`,`enabled`,`locked`) values 
(1,'root','$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq',1,0),
(2,'admin','$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq',1,0),
(3,'sang','$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq',1,0);

/*Table structure for table `user_role` */

DROP TABLE IF EXISTS `user_role`;

CREATE TABLE `user_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `uid` int(11) DEFAULT NULL,
  `rid` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

/*Data for the table `user_role` */

insert  into `user_role`(`id`,`uid`,`rid`) values 
(1,1,1),
(2,1,2),
(3,2,2),
(4,3,3);

执行完成后,如图
在这里插入图片描述
menu表:访问的路径种类
role表:角色表
user表:用户表(密码的明文都是123)
user_role表:一个用户具有哪些角色(关联表)
menu_role表:访问一个路径需要哪些角色(关联表)

(3)application.properies进行数据库配置

spring.datasource.username=root
spring.datasource.password=1234
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/security?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource

(4)创建实体类,get set tostring方法自己生成
在这里插入图片描述
menu:

public class Menu {
    private Integer id;
    private String pattern;
    private List<Role> roles;

role

public class Role {
    private Integer id;
    private String name;
    private String nameZh;

user:(创建此类要继承自org.springframework.security.core.userdetails.UserDetails)

public class User implements UserDetails{
    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean locked;
    private List<Role> roles;

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }


    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }


    public void setLocked(Boolean locked) {
        this.locked = locked;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
    	//相当于告诉spring security该用户具有哪些角色
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
    	//设置账户是否不过期 直接返回true
        return true;
    }

    //注意 isxxx的方法存在时,需要删除对应属性的get方法
    @Override
    public boolean isAccountNonLocked() {
        //设置账户是否被锁定 这边返回的!locked 因为数据库里locked = 0表示没被锁定,locked = 1表示被锁定
        return !locked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        //设置账户凭证是否不过期 直接返回true
        return true;
    }

    @Override
    public boolean isEnabled() {
        //账户是否可用
        return enabled;
    }
}

(5)访问数据库用到的是mybatis 所以要创建对应的mapper接口与mapper.xml
在这里插入图片描述
在这里插入图片描述
对应的xml

<mapper namespace="com.example.securitydatabase.mapper.UserMapper">
    <select id="loadUserByUsername" resultType="com.example.securitydatabase.Bean.User">
        SELECT * FROM  user WHERE username = #{username}
    </select>

    <select id="getRolesById" resultType="com.example.securitydatabase.Bean.Role">
        SELECT * FROM role WHERE id in (SELECT rid FROM user_role WHERE uid = #{id} )
    </select>
</mapper>

在这里插入图片描述
对应的xml(如果不知道mybatis如何返回嵌套list请看:参考

<mapper namespace="com.example.securitydatabase.mapper.MenuMapper">

    <resultMap id="BaseResultMap" type="com.example.securitydatabase.Bean.Menu">
        <id property="id" column="id"/>
        <result property="pattern" column="pattern"/>
        <collection property="roles" ofType="com.example.securitydatabase.Bean.Role">
            <id column="rid" property="id"/>
            <result column="rname" property="name"/>
            <result column="rnameZh" property="nameZh"/>
        </collection>
    </resultMap>


    <select id="getAllMenus" resultMap="BaseResultMap">
        select m.*,r.`id` as rid,r.`name` as rname,r.`nameZh` as rnameZh from menu m left join menu_role mr on m.`id`=mr.`mid` left join role r on mr.`rid`=r.`id`
    </select>
</mapper>

最后记得在SpringBootApplication中配置mapper的扫描路径(因为我们在mapper接口里没配置@mapper注解)

@SpringBootApplication
@MapperScan(basePackages = "com.example.securitydatabase.mapper")
public class SecuritydatabaseApplication {

在pom.xml里告诉系统编译时不要过滤.xml文件(因为我们的mapper.xml放在src/main/java文件夹下)

<build>
		<resources>
			<resource>
				<directory>src/main/java</directory>
				<includes>
					<include>**/*.xml</include>
				</includes>
			</resource>
			<resource>
				<directory>src/main/resources</directory>
			</resource>
		</resources>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

(6)然后创建userservice与menuservice,userservice有两个功能:查询该用户是否存在、查询该用户所具有的角色;menuservice的功能是获取所有路径种类。
在这里插入图片描述

@Service
public class UserService implements UserDetailsService {
	// UserDetailsService 是spring security提供的接口
    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(s);
        if(user == null){
            throw new UsernameNotFoundException("用户不存在");
        }
        user.setRoles(userMapper.getRolesById(user.getId()));
        //直接返回即可 spring security会帮助我们判断登录的账户密码是否正确
        return user;
    }
}

@Service
public class MenuService {

    @Autowired
    MenuMapper menuMapper;

    public List<Menu> getAllMenus(){
       return menuMapper.getAllMenus();
    }
}

(7)接下来我们要进行spring security的配置了
在这里插入图片描述

创建Myfilter,这类似与一个过滤器,当访问路径时会先走这个过滤器,不管状态是登录还是未登录

@Component
public class MyFilter implements FilterInvocationSecurityMetadataSource {
    //进行路径匹配的工具
    AntPathMatcher pathMatcher = new AntPathMatcher();

    @Autowired
    MenuService menuService;


    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        //获取访问的路径
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        List<Menu> allMenus = menuService.getAllMenus();
        for (Menu menu : allMenus) {
            //判断该路径属于menu里的哪一种
            if (pathMatcher.match(menu.getPattern(), requestUrl)) {
                List<Role> roles = menu.getRoles();
                String[] rolesStr = new String[roles.size()];
                for (int i = 0; i < roles.size(); i++) {
                    rolesStr[i] = roles.get(i).getName();
                }
                //将访问该路径所需要的roles返回
                return SecurityConfig.createList(rolesStr);
            }
        }
        //若为其他路径则直接返回ROLE_login,ROLE_login作为一个标识而已
        return SecurityConfig.createList("ROLE_login");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

创建MyAccessDecisionManager。继承自org.springframework.security.access.AccessDecisionManager;

@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //authentication当前用户的一个登陆信息 collection当前所访问的路径需要哪些角色
        for (ConfigAttribute attribute : collection) {
            if ("ROLE_login".equals(attribute.getAttribute())) {
                //如果是ROLE_login则表示为其他访问路径,不存在于menu中
                //下面判断 用户是登陆了还是未登录
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("非法请求!");
                } else {
                    return;
                }
            }
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                //当前所登录的用户满足 访问的url所对应的多个角色中的一个即可访问
                if (authority.getAuthority().equals(attribute.getAttribute())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("非法请求!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

最后创建securityConfig

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserService userService;
    @Autowired
    MyFilter myFilter;
    @Autowired
    MyAccessDecisionManager myAccessDecisionManager;


    @Bean
    PasswordEncoder passwordEncoder(){
        return  new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //验证登录的账号与密码
        auth.userDetailsService(userService);

    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //获取请求的路径 并对登录的用户进行判断 该用户是否具有 可以访问此路径的角色中的一个
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                    //设置filter 与manager
                        o.setAccessDecisionManager(myAccessDecisionManager);
                        o.setSecurityMetadataSource(myFilter);
                        return o;
                    }
                })
                .and()
                .formLogin()
                .permitAll()
                .and()
                .csrf().disable();
    }
}

到此spring security配置完成了。访问的具体过程 经过 MyFilter --------》 MyAccessDecisionManager
(8)编写 controller 测试

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }

    @GetMapping("/db/hello")
    public String db() {
        return "hello db";
    }

    @GetMapping("/admin/hello")
    public String admin() {
        return "hello admin";
    }

    @GetMapping("/user/hello")
    public String user() {
        return "hello user";
    }
}

整个项目文件结构图如下:
在这里插入图片描述
(9)测试
以登录root用户为例。先访问/hello,访问该路径的条件是只要登录即可
在这里插入图片描述
访问/db/hello和/admin/hello,访问该路径的条件是需要ROLE_dba角色
在这里插入图片描述
在这里插入图片描述
最后访问/user/hello,访问该路径的条件是需要ROLE_user角色,root不具有此角色
在这里插入图片描述
当然,大家也可以测试下admin和sang用户

总结:

基于spring security数据库认证的主要难点还是在设计数据库的用户、角色和访问路径之间的关系,只有理清对应的关系后再在spring boot中配置spring security就会变得相对轻松。

一个还没工作的研究僧
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 基于数据库的验证
抛弃幻想,准备斗争
04-25 3337
之前给出的用户名和密码的信息都是由用户固定填写的,这种做法并不适合实际的开发,所以在所有项目系统中,用户名和密码都应该交由数据库进行管理,包括密码也应该使用MD5进行加密处理。 一、基于标准数据库的保存 如果要想实现基于标准的数据库保存操作,那么首先要根据Spring安全框架的定义要求,创建相关的数据表。 一个用户具备多个角色,所以属于一对多的关系。 如果现在要想使用MD5的加...
Spring Boot 之 Spring Security基于数据库认证
探索er的博客
05-08 1549
Spring Security基于数据库认证
Spring Boot整合Spring Security(八)基于数据库的用户认证
时雨吹雪的博客
02-11 466
Spring Security基于数据库的用户认证
2024年Java最全SpringSecurity认证流程详解(附源码),Java开发还会吃香吗
2401_84102400的博客
05-05 853
好了, 让我们来看看这个坑吧!
spring security使用数据库认证
qq_42338293的博客
03-21 323
Spring Security中如果想要使用数据进行认证操作,有很多种操作方式,这里我们介绍使用UserDetails、 UserDetailsService来完成操作。 UserDetails public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities(); String getPassword(); String getU
spring security 数据库简单认证
北尘
12-06 174
今天翻看了一下spring security,简单写了个数据库认证的demo,代码如下: 1.在pom.xml文件中引入如下坐标 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.3.REL...
Spring Security基于数据库实现认证过程解析
08-18
Spring Security基于数据库实现认证过程解析 Spring Security是一个功能强大且灵活的安全框架,提供了基于数据库认证机制。本文将通过示例代码详细介绍Spring Security基于数据库实现认证过程的详细解析。 一、...
Spring security基于数据库中账户密码认证
08-24
Spring Security 基于数据库中账户密码认证 Spring Security 是一个基于 Java 的安全框架,它提供了一个灵活的安全机制来保护基于 Web 的应用程序。在本文中,我们将介绍 Spring Security 基于数据库中账户密码认证...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
为了提高系统安全性,Spring Security 提供了多种身份验证机制,包括基于数据库认证。下面将详细介绍 Spring Security 使用数据库认证及用户密码加密和解密功能。 数据库认证Spring Security 中,可以使用...
spring Security Json 数据库登录验证
01-21
总的来说,Spring SecuritySpring Boot结合可以轻松地实现基于JSON的数据库登录验证,为前后端分离的应用提供安全的认证机制。通过自定义配置和服务,我们可以灵活地调整安全策略,以满足不同场景的需求。同时,...
学习SpringSecurity的日常生活(四)—— 自定义数据源
dongbeihuxiao的博客
04-11 1196
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
JavaWeb进阶修炼手册38---spring-security(四)使用数据库中的用户进行验证
渐渐的忘记,赶不上明天(读研ing,2024年毕业)
04-06 321
文章目录1. 前言2. UserDetails与UserDetailsService2.1 UserDetails及其实现类User2.2 UserDetailsService3. 使用数据库中的用户进行验证实现步骤3.1 第一步:编写`UserDetailsService`的实现类:UserDetailsServiceImpl3.2 第二部:更改spring-security配置文件3.3 效果...
spring boot 整合 spring security 之使用数据库验证
蜗牛跑的快
11-26 5399
spring boot 整合 spring security 参见上一篇文章.重写WebSecurityConfigurerAdapter中的configureGlobal方法@Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.authenticat
03-SpringSecurity数据库用户登录
空夜's Blog
06-04 1564
这一节来看一下如何从数据库引入user到我们的spring-security中。 统一用户登录 首先来实现一个不包含角色、权限的demo吧! 建表: DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(255) NOT NULL, ...
Spring Security使用数据库登录认证授权
Charge8的博客
01-03 4611
Spring Security使用数据库登录认证授权
Spring Security之自定义数据库
来啊 快活啊
06-14 1233
[org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl]类中定义了三条sql语句和三个相关的方法:public static final String DEF_USERS_BY_USERNAME_QUERY = "select username,password,enabled " + "from use
Spring3中,配置DataSource的方法有6种。
zerojunyan的专栏
01-14 405
Spring3中,配置DataSource的方法有五种。 第一种:beans.xml   bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"       destroy-method="close">      property name="driverClassName" value=
SpringSecurity基于数据库认证
08-31
Spring Security基于数据库认证是通过将用户信息存储在数据库中进行认证的一种方式。首先,我们需要根据Spring Security框架的定义要求,创建相关的数据表来存储用户信息[2]。接下来,我们可以使用org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值