基于数据库认证方式的SpringSecurity示例

最新推荐文章于 2021-10-15 11:44:06 发布
最新推荐文章于 2021-10-15 11:44:06 发布
阅读量195 收藏 1
点赞数
分类专栏: springsecurity 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43750656/article/details/109359837
版权

项目gitee地址:https://gitee.com/kaidilake118/springsecurity

项目结构说明

在这里插入图片描述
SQL脚本

/*
Navicat MySQL Data Transfer

Source Server         : mysqldb
Source Server Version : 50562
Source Host           : localhost:3308
Source Database       : acldb

Target Server Type    : MYSQL
Target Server Version : 50562
File Encoding         : 65001

Date: 2020-10-29 14:36:58
*/

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for acl_permission
-- ----------------------------
DROP TABLE IF EXISTS `acl_permission`;
CREATE TABLE `acl_permission` (
  `id` char(19) NOT NULL DEFAULT '' COMMENT '编号',
  `pid` char(19) NOT NULL DEFAULT '' COMMENT '所属上级',
  `name` varchar(20) NOT NULL DEFAULT '' COMMENT '名称',
  `type` tinyint(3) NOT NULL DEFAULT '0' COMMENT '类型(1:菜单,2:按钮)',
  `permission_value` varchar(50) DEFAULT NULL COMMENT '权限值',
  `path` varchar(100) DEFAULT NULL COMMENT '访问路径',
  `component` varchar(100) DEFAULT NULL COMMENT '组件路径',
  `icon` varchar(50) DEFAULT NULL COMMENT '图标',
  `status` tinyint(4) DEFAULT NULL COMMENT '状态(0:禁止,1:正常)',
  `is_deleted` tinyint(1) unsigned NOT NULL DEFAULT '0' COMMENT '逻辑删除 1(true)已删除, 0(false)未删除',
  `gmt_create` datetime DEFAULT NULL COMMENT '创建时间',
  `gmt_modified` datetime DEFAULT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`),
  KEY `idx_pid` (`pid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='权限';

-- ----------------------------
-- Records of acl_permission
-- ----------------------------
INSERT INTO `acl_permission` VALUES ('1', '', '系统日志查看', '0', 'sys:log', '/sys/log', null, null, null, '0', '2020-10-28 16:36:42', '2020-10-28 16:36:39');
INSERT INTO `acl_permission` VALUES ('2', '', '会员信息查看', '0', 'sys:member', '/sys/member', null, null, null, '0', null, null);
INSERT INTO `acl_permission` VALUES ('3', '', '接口限流', '0', 'sys:limit', '/sys/limit', null, null, null, '0', null, null);
INSERT INTO `acl_permission` VALUES ('4', '', '应用部署', '0', 'sys:deploy', '/sys/deploy', null, null, null, '0', null, null);

-- ----------------------------
-- Table structure for acl_role
-- ----------------------------
DROP TABLE IF EXISTS `acl_role`;
CREATE TABLE `acl_role` (
  `id` char(19) NOT NULL DEFAULT '' COMMENT '角色id',
  `role_name` varchar(20) NOT NULL DEFAULT '' COMMENT '角色名称',
  `role_code` varchar(20) DEFAULT NULL COMMENT '角色编码',
  `remark` varchar(255) DEFAULT NULL COMMENT '备注',
  `is_deleted` tinyint(1) unsigned NOT NULL DEFAULT '0' COMMENT '逻辑删除 1(true)已删除, 0(false)未删除',
  `gmt_create` datetime NOT NULL COMMENT '创建时间',
  `gmt_modified` datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of acl_role
-- ----------------------------
INSERT INTO `acl_role` VALUES ('1', '超级管理员', 'admin', null, '0', '2019-11-11 13:09:32', '2019-11-18 10:27:18');
INSERT INTO `acl_role` VALUES ('2', '普通管理员', 'user', null, '0', '2019-11-11 13:09:45', '2019-11-18 10:25:44');

-- ----------------------------
-- Table structure for acl_role_permission
-- ----------------------------
DROP TABLE IF EXISTS `acl_role_permission`;
CREATE TABLE `acl_role_permission` (
  `id` char(19) NOT NULL DEFAULT '',
  `role_id` char(19) NOT NULL DEFAULT '',
  `permission_id` char(19) NOT NULL DEFAULT '',
  `is_deleted` tinyint(1) unsigned NOT NULL DEFAULT '0' COMMENT '逻辑删除 1(true)已删除, 0(false)未删除',
  `gmt_create` datetime NOT NULL COMMENT '创建时间',
  `gmt_modified` datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`),
  KEY `idx_role_id` (`role_id`),
  KEY `idx_permission_id` (`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色权限';

-- ----------------------------
-- Records of acl_role_permission
-- ----------------------------
INSERT INTO `acl_role_permission` VALUES ('1', '1', '1', '0', '2020-10-28 16:40:06', '2020-10-28 16:40:08');
INSERT INTO `acl_role_permission` VALUES ('2', '1', '3', '0', '2020-10-28 16:40:17', '2020-10-28 16:40:20');
INSERT INTO `acl_role_permission` VALUES ('3', '1', '4', '0', '2020-10-28 16:40:59', '2020-10-28 16:41:02');
INSERT INTO `acl_role_permission` VALUES ('4', '2', '2', '0', '2020-10-28 16:41:14', '2020-10-28 16:41:16');

-- ----------------------------
-- Table structure for acl_user
-- ----------------------------
DROP TABLE IF EXISTS `acl_user`;
CREATE TABLE `acl_user` (
  `id` char(19) NOT NULL COMMENT '会员id',
  `username` varchar(20) NOT NULL DEFAULT '' COMMENT '微信openid',
  `password` varchar(255) NOT NULL DEFAULT '' COMMENT '密码',
  `nick_name` varchar(50) DEFAULT NULL COMMENT '昵称',
  `salt` varchar(255) DEFAULT NULL COMMENT '用户头像',
  `token` varchar(100) DEFAULT NULL COMMENT '用户签名',
  `is_deleted` tinyint(1) unsigned NOT NULL DEFAULT '0' COMMENT '逻辑删除 1(true)已删除, 0(false)未删除',
  `gmt_create` datetime NOT NULL COMMENT '创建时间',
  `gmt_modified` datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='用户表';

-- ----------------------------
-- Records of acl_user
-- ----------------------------
INSERT INTO `acl_user` VALUES ('1', 'admin', '$2a$10$9F24lA5HYRVzM7p1af3ZeuhJcarCLZhF2KFkZPssYlkc5h9M1ml3m', 'admin', '', null, '0', '2019-11-01 10:39:47', '2019-11-01 10:39:47');
INSERT INTO `acl_user` VALUES ('2', 'test', '$2a$10$mUz1L.UXH9j98TymD0FXy.m5G.xo7U69j3zkv4KDUtcxyiLWN3LKC', 'test', null, null, '0', '2019-11-01 16:36:07', '2019-11-01 16:40:08');

-- ----------------------------
-- Table structure for acl_user_role
-- ----------------------------
DROP TABLE IF EXISTS `acl_user_role`;
CREATE TABLE `acl_user_role` (
  `id` char(19) NOT NULL DEFAULT '' COMMENT '主键id',
  `role_id` char(19) NOT NULL DEFAULT '0' COMMENT '角色id',
  `user_id` char(19) NOT NULL DEFAULT '0' COMMENT '用户id',
  `is_deleted` tinyint(1) unsigned NOT NULL DEFAULT '0' COMMENT '逻辑删除 1(true)已删除, 0(false)未删除',
  `gmt_create` datetime NOT NULL COMMENT '创建时间',
  `gmt_modified` datetime NOT NULL COMMENT '更新时间',
  PRIMARY KEY (`id`),
  KEY `idx_role_id` (`role_id`),
  KEY `idx_user_id` (`user_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of acl_user_role
-- ----------------------------
INSERT INTO `acl_user_role` VALUES ('1', '1', '1', '0', '2020-10-28 16:35:05', '2020-10-28 16:35:08');
INSERT INTO `acl_user_role` VALUES ('2', '2', '1', '0', '2020-10-28 16:35:21', '2020-10-28 16:35:24');
INSERT INTO `acl_user_role` VALUES ('3', '2', '2', '0', '2020-10-28 16:35:37', '2020-10-28 16:35:40');

WebSecurityConfig配置类说明

这个类的核心方法如下

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .formLogin()
                //自定义登录页面
                .loginPage("/login.html")
                .loginProcessingUrl("/login")
                .defaultSuccessUrl("/index.html")
                .and()
                .authorizeRequests()
                //一定要开放登录的相关接口,否则会无限重定向
                .antMatchers("/login.html", "/login").permitAll()
//                .antMatchers("/sys/log","/sys/limit","/sys/deploy").hasRole("admin")
//                .antMatchers("/sys/member").hasRole("user")
                .antMatchers("/index.html").authenticated();
                //使用自定义的鉴权方式
                //.anyRequest().access("@rbacService.hasPermission(request,authentication)");
                //其他的请求认证后即可访问
                //.anyRequest().authenticated();
    }

其中通过这个方法我们可以指定登录页面,登录请求,以及登录后的默认跳转地址,这些都是url来指定的,我们也可以自己指定登录成功或失败以后的handler,来自己写处理逻辑。

注意这里:

anyRequest().access("@rbacService.hasPermission(request,authentication)");

@rbacService表示容器中的一个组件,我们调用这个组件的hasPermission方法将请求对象和认证主体传入,参数名是固定的。

我们来看以下rbacService这个类里面的逻辑。

RBACService

@Service("rbacService")
public class MyRBACService {

    /**
     * 这个方法是我们自定义的鉴权方法,(根据url进行鉴权)那就是看当前认证的这个用户权限集合中有没有当前访问的
     * 请求url
     * @param request
     * @param authentication
     * @return
     */
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        Object principal = authentication.getPrincipal();
        if (principal instanceof UserDetails) {
            User user = (User) authentication.getPrincipal();
            Collection<GrantedAuthority> authorities = user.getAuthorities();
            //获取请求Uri
            String requestURI = request.getRequestURI();
            if (!authorities.isEmpty()){
                for (GrantedAuthority authority : authorities) {
                    String auth = authority.getAuthority();
                    if (auth.equals(requestURI)){
                        return true;
                    }
                }
            }
        }
        return false;
    }

}

我们看一下数据库中的权限实体类的字段,注意有permission_value和path这两个字段,我们在为用户授权的时候是将这两个字段的值都作为权限授权给用户的,也就是如果用户有id为1的这个权限,则我们的userDetailSerivce中实际上是给他了sys:log和/sys/log这两个权限。其中path就对应了我们controller中的资源路径,而permission_value就可以结合Security的注解@PreAuthorize(“hasAnyAuthority(‘sys:log’)”)来使用,这样做的好处就是我们即可以通过请求路径来判断,也可以通过权限表示来判断。

在这里插入图片描述
详细源码可下载gitee上的项目地址 https://gitee.com/kaidilake118/springsecurity

DanceDonkey
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 基于数据库的验证
抛弃幻想,准备斗争
04-25 3324
之前给出的用户名和密码的信息都是由用户固定填写的,这种做法并不适合实际的开发,所以在所有项目系统中,用户名和密码都应该交由数据库进行管理,包括密码也应该使用MD5进行加密处理。 一、基于标准数据库的保存 如果要想实现基于标准的数据库保存操作,那么首先要根据Spring安全框架的定义要求,创建相关的数据表。 一个用户具备多个角色,所以属于一对多的关系。 如果现在要想使用MD5的加...
Spring Security使用数据库中的用户进行身份认证
小尘
04-30 1万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
spring security与数据库交互实现简单例子
03-22
NULL 博文链接:https://ynp.iteye.com/blog/1008178
spring security (三) 数据库认证,获取用户权限和url地址
mylove10086
05-14 1万+
通过一和二已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java中的。这次我们把这些内容到放在数据库中,在系统启动时从数据库中获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
Spring Security基于数据库实现认证过程解析
08-18
本文将通过示例代码详细介绍Spring Security基于数据库实现认证过程的详细解析。 一、数据库设计 在Spring Security中,数据库设计是认证机制的基础。这里,我们将创建三个表:role、user和user_role。 role表...
Spring security基于数据库中账户密码认证
08-24
以下是一个简单的示例代码,演示如何使用 Spring Security 基于数据库中账户密码认证。 新建一个 JavaWeb 工程,导入相关依赖,pom 文件的内容如下: pom 文件 ``` <modelVersion>4.0.0 <groupId>...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 使用数据库认证及用户密码加密和解密功能 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和...* Spring Security 数据库认证示例 * Spring Security 密码加密和解密示例
Java开发之spring security实现基于MongoDB的认证功能
08-28
在传统的JDBC环境中,Spring Security提供了内置的支持来处理基于数据库的用户认证。然而,随着NoSQL数据库的广泛应用,例如MongoDB,我们可能需要在非JDBC环境下自定义认证服务。本文将详细介绍如何在Spring ...
Spring Security 把授权信息写入数据库
07-15
在处理与数据库交互方面,Spring Security提供了更强大的支持,包括长期的remember-me功能和基于数据库的角色与用户管理API。 24.2. 目标 在原有应用中,用户信息和资源访问控制已经在数据库中管理。目标是将现有...
(四)Spring Security基于数据库的用户认证
惜阳
07-10 1938
目录一:核心组件值之UserDetails二:核心组件值之UserDetailsService三:WebSecurityConfig配置userDetailsService项目地址 我们接着上一章(三)Spring Security增加验证码验证,进行开发 一:核心组件值之UserDetails UserDetails => Spring Security基础接口,包含某个用户的账号,密码,...
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限
ZaynFox的博客
10-15 679
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
03-SpringSecurity数据库用户登录
空夜's Blog
06-04 1560
这一节来看一下如何从数据库引入user到我们的spring-security中。 统一用户登录 首先来实现一个不包含角色、权限的demo吧! 建表: DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(255) NOT NULL, ...
Spring security在MS-SQL下的初始化脚本
05-26 719
-- create table users( -- username nvarchar(50) not null primary key, -- password nvarchar(50) not null, -- enabled bit not null); --create table authorities (-- username n
spring security入门--从数据库读取数据实现用户登录访问简单示例
浅时光|初如梦
09-15 2249
1.说明 之前的几个示例都是从内存中获取的数据,这里改写为从数据库获取数据实现用户登录访问功能 从内存读取数据的代码可参看 地址:https://blog.csdn.net/qq_32224047/article/details/108604598 2.代码示例 数据库建表语句 CREATE DATABASE /*!32312 IF NOT EXISTS*/`security` /*!40100 DEFAULT CHARACTER SET utf8 */; USE `security`;
SpringSecurity 实战项目(一)
weixin_38927257的博客
12-02 4968
文章目录SpringSecurity 验证帐号密码security认证过程:[《Spring Security认证过程》](https://blog.csdn.net/weixin_38927257/article/details/102960752) 本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和...
springboot springsecurity示例
最新发布
06-19
Spring Boot和Spring Security示例程序的好处在于它可以为初学者提供完整的代码示例,使学习者在实践中掌握Spring Boot和Spring Security结合的基本原理和操作方法。同时,示例程序还包含了许多安全问题的处理方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值