Springboot 集成Spring Security教程 (三)

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 日常 文章标签: Springboot Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42059548/article/details/89165568
版权
这一篇将进行 Security 从数据库读取用户信息及权限

数据库采用 Mysql, ROM 采用 JPA

首先进行 JPA 的配置, 在 application.properties 中添加(JPA 的使用将在后续文章中做记录)

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root
# jpa
spring.jpa.hibernate.ddl-auto=update
spring.jpa.properties.hibernate.enable_lazy_load_no_trans=true

一. 创建 SysUser 和 SysRole 及对应的数据库操作类(JPA)

这两个实体类使用的是 JPA 自动建表, dao 层继承 JpaRepository

SysUser类

Security 中的权限认证需要实现 UserDetails 接口 , 并复写其方法. getAuthorities() 方法返回的是权限点

package com.izuul.springsecurity.entity;

import lombok.Data;
import org.hibernate.annotations.GenericGenerator;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import javax.persistence.*;
import java.io.Serializable;
import java.util.Collection;
import java.util.List;

@Data
@Entity(name = "SYS_USER")
public class SysUser implements UserDetails, Serializable {

    private static final long serialVersionUID = -2476551158093701699L;

    @Id
    @GenericGenerator(name = "system-uuid", strategy = "uuid2")
    @GeneratedValue(generator = "system-uuid")
    @Column(name = "ID")
    private String id;

    @Column(name = "USERNAME")
    private String username;

    @Column(name = "PASSWORD")
    private String password;

    @ManyToMany
    @JoinTable(name = "USER_ROLE", joinColumns = @JoinColumn(name = "USER_ID", referencedColumnName = "ID"),
            inverseJoinColumns = @JoinColumn(name = "ROLE_ID", referencedColumnName = "ID"))
    private List<SysRole> sysRoles;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return sysRoles;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
SysRole 类

实现 GrantedAuthority 接口, 复写 getAuthority()方法

package com.izuul.springsecurity.entity;

import lombok.Data;
import org.hibernate.annotations.GenericGenerator;
import org.springframework.security.core.GrantedAuthority;

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;
import java.io.Serializable;

@Data
@Entity(name = "SYS_ROLE")
public class SysRole implements GrantedAuthority, Serializable {

    private static final long serialVersionUID = -1834111111498772935L;

    @Id
    @GenericGenerator(name = "system-uuid", strategy = "uuid2")
    @GeneratedValue(generator = "system-uuid")
    @Column(name = "ID")
    private String id;

    @Column(name = "NAME")
    private String name;

    @Override
    public String getAuthority() {
        return name;
    }
}
SysUserRepository

继承 JpaRepository, 写一个 findByUsername() 方法

package com.izuul.springsecurity.repository;

import com.izuul.springsecurity.entity.SysUser;
import org.springframework.data.jpa.repository.JpaRepository;

public interface SysUserRepository extends JpaRepository<SysUser, String> {

    SysUser findByUsername(String username);
}
SysRoleRepository
package com.izuul.springsecurity.repository;

import com.izuul.springsecurity.entity.SysRole;
import org.springframework.data.jpa.repository.JpaRepository;

public interface SysRoleRepository extends JpaRepository<SysRole, String> {
}

二. 创建 UserDetailsService 实现类

Security 从数据库读取用户认证信息需要对 SecurityConfig 配置类进行更改

SecurityConfig 中需要引用 UserDetailsService 的实现类, 我先创建这个实现类

  • 实现 UserDetailsService 接口 复写 loadUserByUsername(String username) 方法

  • 创建初始化用户的 init() 方法

  • 使用 PasswordEncoder 对密码进行加密

package com.izuul.springsecurity.service;

import com.izuul.springsecurity.entity.SysRole;
import com.izuul.springsecurity.entity.SysUser;
import com.izuul.springsecurity.repository.SysRoleRepository;
import com.izuul.springsecurity.repository.SysUserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import javax.annotation.PostConstruct;
import java.util.ArrayList;
import java.util.List;

@Service
public class SysUserService implements UserDetailsService {

    @Autowired
    private SysUserRepository sysUserRepository;

    @Autowired
    private SysRoleRepository sysRoleRepository;

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 初始化2个用户
     */
    @PostConstruct
    private void init() {
        if (sysUserRepository.findByUsername("admin") == null) {
            SysRole roleAdmin = new SysRole();
            roleAdmin.setName("ROLE_ADMIN");

            SysUser sysAdmin = new SysUser();
            sysAdmin.setUsername("admin");
            sysAdmin.setPassword(passwordEncoder.encode("123"));
            List<SysRole> sysRolesAdmin = new ArrayList<>();
            sysRolesAdmin.add(roleAdmin);
            sysAdmin.setSysRoles(sysRolesAdmin);

            sysRoleRepository.save(roleAdmin);
            sysUserRepository.save(sysAdmin);
        }

        if (sysUserRepository.findByUsername("user") == null) {
            SysRole roleUser = new SysRole();
            roleUser.setName("ROLE_USER");

            SysUser sysUser = new SysUser();
            sysUser.setUsername("user");
            sysUser.setPassword(passwordEncoder.encode("123"));
            List<SysRole> sysRolesUser = new ArrayList<>();
            sysRolesUser.add(roleUser);
            sysUser.setSysRoles(sysRolesUser);

            sysRoleRepository.save(roleUser);
            sysUserRepository.save(sysUser);

        }


    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return sysUserRepository.findByUsername(username);
    }


}

二. 复写 configure(AuthenticationManagerBuilder auth) 方法

将上篇中从内存都认证信息的配置注销, 并复写 configure(AuthenticationManagerBuilder auth) 方法

 		@Autowired
    private SysUserService sysUserService;
    
//    @Autowired
//    public void config(AuthenticationManagerBuilder auth) throws Exception {
//        auth.inMemoryAuthentication()
//                .passwordEncoder(passwordEncoder())
//                .withUser("izuul")
//                .password(passwordEncoder().encode("izuul"))
//                .roles("USER");
//    }


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(sysUserService);
    }

配置好config 并连接数据库后, 启动项目

启动后会自动建表并插入初始化数据, 创建了两个用户 admin 和 user,

admin 用户的权限点是 ADMIN, user 用户的是 USER, 上篇中configure 做的资源配置如下

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 根路径 "/" 允许全部访问请求
                .antMatchers("/").permitAll()
                // 路径 "/user/**" 只允许
                .antMatchers("/users/**").hasRole("USER")
                .and()
                .formLogin().loginPage("/login").failureUrl("/login-error")
                .and()
                .logout().logoutSuccessUrl("/logout-");
    }

所以当我们使用 user 用户登录的时候可以正常访问

而 admin 用户登录的时候会抛出异常说明权限不够, 在实际项目中需要进行异常处理, 本文就不做相关展示了

哪筆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security教程()
码猿同学
01-02 3662
在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。 一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改。这里只要新建
springsecurity教程
热门推荐
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
Spring Boot极简教程》第16章 Spring Boot安全集成Spring Security
禅与计算机程序设计艺术
04-17 8755
第16章 Spring Boot安全集成Spring Security 开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。 很多成熟的大公司都会有专门针对用户管理方面有一...
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3089
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1163
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
[后端开发] Springboot Security开发安全的REST服务 视频教程 Chap5
01-19
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
SpringSecurity教程
qq_36506462的博客
09-17 1201
SpringSecurity4教程 B站视频地址 github示例代码 由于B站up主未提供资料,个人整理,主要看代码理解 一、SpringSecurity入门开发 官网 思维导图 [外链图片转存失败(img-Yvr4Iavv-1568698216549)(https://www.iliutao.com/upload/2019/9/p1-c15be4c5161b4c7eb2bf47e98bfc51...
Spring Security 教程
YunWisdom
03-13 1683
Spring Security 教程 在这篇文章中,我们将讨论Spring框架“安全性”模块基础知识。我们将在即将发布的帖子中开发一些简单而先进的示例。 现在,开发安全应用程序是避免故障,窃取或黑客攻击我们的机密数据或未经授权访问的非常重要的方面。我们可以使用Spring Security Module开发Secure应用程序来限制对我们的应用程序的访问。 目录[隐藏] ...
Spring Security教程
qq_28248897的博客
08-31 4084
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
[后端开发] Spring boot Security开发安全的REST服务 视频教程 完整压缩包
01-19
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
SpringBoot整合SpringSecurity完整教程
lovely__RR的博客
10-29 4422
目录1.前言2.流程2.1导入依赖2.22.1导入依赖 1.前言 之前项目用的是SSM框架,所以我们选用的安全框架是shiro,但是因为技术主管把我们分散做的模块整合到一起做成微服务的形式,所以我们就用springboot重新将我们的项目迁移了过来. 之后改吧改吧,把大部分的逻辑全部都迁移过来了,之后就是加入安全框架了,因为现在使用的springboot,所以我们选择使用springsecurity这个安全框架,虽然说springboot能够和springsecurity完美配合,但是就算这样,up还是搞了
Spring Boot Security 使用教程
weixin_30835923的博客
07-30 251
虽然,我在实际项目中使用的是 shiro 进行权限管理,但 spring boot security 早已大名鼎鼎,虽然他的入门要相对复杂一点,但是设计视乎更加吸引人。 本章节就是以一篇快速入门 spring boot security 来实现如何使用 spring boot security,本示例来源于 Spring官方实例 java jdk1.8 maven 3.2+ sprin...
Spring Security教程(四)
码猿同学
01-04 4014
在前面个博客的例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果。 一 自定义页面 login.jsp: <%@ page language="java" contentType="text/html; charset=utf-8" pageEnco
spring security 入门教程
一清道长的个人博客
05-31 186
https://www.jianshu.com/p/76bfa6743ba9-spring security 入门教程
Spring Security教程(六)
码猿同学
01-13 2041
这里接着上篇的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程。在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为UsernamePasswordAuthenticationFilter,通过查看源码知道,做认证处理的方法为attemptAuthentication,这个方法的主要作用就是将用户输入的账号和密码,封装成一个U
springboot security教程链接
qq_27759825的博客
04-08 275
记录一下spring boot security的博客 https://www.cnblogs.com/cjsblog/p/9152455.html
spring security系列教程
weixin_42408447的博客
05-26 139
1.Spring Security最简单全面教程(带Demo) 2.Spring Security 工作原理概览 3.SpringBoot集成Spring Security(1)——入门程序
springboot集成springSecurity
05-10
Spring Security 是一个基于 Spring 的安全框架,提供了一组完整的安全性功能,包括身份验证、授权、防止 CSRF 攻击等等。Spring Boot 基于 Spring,自然也集成Spring Security。下面是 Spring Boot 集成 Spring Security 的步骤: 1. 在 pom.xml 中添加 Spring Security 的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 编写一个继承自 WebSecurityConfigurerAdapter 的配置类,并使用 @EnableWebSecurity 注解开启 Spring Security: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } } ``` 上面的代码中,我们配置了 Spring Security 的基本功能:对所有请求进行身份验证,允许访问首页和登录页面,使用 inMemoryAuthentication 来指定用户和密码。 3. 在 application.properties 或 application.yml 中配置登录页面的 URL: ```properties spring.security.login.form=/login ``` 4. 编写一个登录页面,例如一个 Thymeleaf 模板: ```html <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>Login</title> </head> <body> <form th:action="@{/login}" method="post"> <div><label>Username: <input type="text" name="username"/></label></div> <div><label>Password: <input type="password" name="password"/></label></div> <div><input type="submit" value="Log in"/></div> </form> </body> </html> ``` 这样就完成了 Spring Boot 集成 Spring Security 的配置。当用户访问受保护的页面时,会被重定向到登录页面进行身份验证。如果用户输入的用户名和密码正确,就会跳转到原来请求的页面。如果不正确,就会显示错误信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值