SpringBoot整合SpringSecurity实现用户登录(二)用户登录查库及权限判定

已于 2024-04-24 12:41:52 修改
阅读量500 收藏 6
点赞数 14
分类专栏: JavaWeb学习 笔记 文章标签: spring boot 后端 java
于 2024-04-22 00:37:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45607971/article/details/138051188
版权

SpringSecurity整合MybatisPlus实现用户登录查库以及权限信息获取

登录Demo完整代码仓库地址:https://gitee.com/strivezhangp/java-study-log.git(分支为logindemo)

1 整体概述

​ 接上篇博客,本博客记录了SpringBoot项目结合SpringSecurity整合MybatisPlus3实现用户登录的查库认证以及用户权限的获取功能。

  • 整合MybatisPlus3
  • 结合MybatisX插件实现代码生
  • 用户权限的存储–将用户信息、权限信息存储到UsernamePasswordAuthenticationToken中

2 项目引入MybatisPlus相关依赖

2.1 Maven依赖引入

 <!-- 整合mybatis plus https://baomidou.com/-->
<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.4.1</version>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <scope>runtime</scope>
</dependency>

2.2 .yml配置文件汇总配置数据源信息

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/数据库名?useUnicode=true&useSSL=false&characterEncoding=utf8&serverTimezone=UTC
    username: ****
    password: ****
        
# mybatisPlus中mapper的xml文件对应位置,classpath指向的是resources文件夹
mybatis-plus:
  mapper-locations: classpath*:/mapper/**Mapper.xml

2.3 MybatisPlus配置类

@Configuration
@MapperScan("com.strive.logindemo.mapper") // mapper文件的扫描路径
public class MybatisPlusConfig {

    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor(){
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(new BlockAttackInnerInterceptor()); // 防止全表更新
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor()); // 载入分页插件
        return interceptor;
    }
    @Bean
    public ConfigurationCustomizer configurationCustomizer(){
        return configuration -> configuration.setUseDeprecatedExecutor(false);
    }
}

2.4 结合MybatisX插件自动生成代码

​ 基本的实现步骤:

  1. IEDA数据库工具中导入数据源
  2. 选择相应的数据表实现代码自动生成
  3. 代码生成的一些配置–点击完成后自动生成(service、mapper、实体类等)
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    ​ 到此为止,数据库相关文件自动生成,可以进行相关的测试以及使用。
    在这里插入图片描述

3 实现用户登录的认证

3.1 自定义Jwt过滤器

​ 在此过滤器中,判断用户是否登录(登录后用户请求头拥有JWT令牌),然后根据令牌信息,查库后提取用户详细信息(用户名、密码、权限等),将其存储到会话中,方便后续该用户发起的请求的鉴权操作等。

​ 首先在JwtUtil工具类中追加以下方法:

/**
 * 解析JWT字符串
 *
 * @param jwt
 * @return
 */
public Claims getClaimByToken(String jwt) {
    try {
        return Jwts.parser()
                .setSigningKey(secret)
                .parseClaimsJws(jwt)
                .getBody();
    } catch (Exception e) {
        e.printStackTrace();
        return null;
    }
}

/**
 * 判断JWT令牌是否过期
 *
 * @param claims
 * @return
 */
public boolean isTokenExpired(Claims claims) {
    return claims.getExpiration().before(new Date());
}

​ 然后自定义Jwt过滤器,在用户登录成功后,首先进入Jwt过滤器,对用户权限信息进行进一步的解析和获取。

public class JwtFilter extends BasicAuthenticationFilter {
    @Autowired
    JwtUtil jwtUtil;
    /**
     * 继承构造方法 使用 AuthenticationManager 来处理认证请求
     */
    public JwtFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    /**
     * 重写方法 实现自定义的用户请求处理逻辑
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String jwt = request.getHeader(jwtUtil.getHeader());

        // 判断是否存在JWT
        if (StrUtil.isBlankOrUndefined(jwt)) {
            chain.doFilter(request, response);
            return;
        }
        Claims claims = jwtUtil.getClaimByToken(jwt);
        if (claims == null) {
            throw new JwtException("token 异常");
        }
        // 判断是否过期
        if (jwtUtil.isTokenExpired(claims)) {
            throw new JwtException("token 已过期");
        }
        // 合法情况 生成token 存储在令牌中 包含 用户信息、用户权限信息
        String username = claims.getSubject();
        // 自定义一个用户权限数组
        String userAuth = "sys:user:list,sys:resident:list";
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(
                username, // 返回用户名
                null, // 返回用户密码
                AuthorityUtils.commaSeparatedStringToAuthorityList(userAuth) // 返回用户权限信息
        );
        SecurityContextHolder.getContext().setAuthentication(token);
        System.out.println("jwt:" + jwt);
        System.out.println("token:" + token);
        chain.doFilter(request, response);
    }
}

3.2 将自定义过滤器引入Security配置中

// 引入自定义的过滤器
@Bean
JwtFilter jwtFilter() throws Exception {
    JwtFilter jwtFilter = new JwtFilter(authenticationManager());
    return jwtFilter;
}

// 相关配置项
.and()
.addFilter(jwtFilter()); // jwt过滤器判断用户请求是否存在JWT令牌

4 自定义 UserDetails类

​ 根据源码:package org.springframework.security.core.userdetails自定义一个UserAccount类,实现用户信息和权限信息的返回。

public class DefinedUser implements UserDetails {

    /**
     * 自定义一些变量
     */
    private Long userId;
    
    /** 此处复制源类的其他属性和构造方法 */
   
    /**
     * 重写一些方法(基本全部拿过来重写默认的User)
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities; // 返回权限
    }

    @Override
    public String getPassword() {
        return this.password; // 返回密码
    }

    @Override
    public String getUsername() {
        return this.username; // 返回用户名
    }

    @Override
    public boolean isAccountNonExpired() {
        return this.accountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return this.accountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return this.credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return this.enabled;
    }
}

5 结合mybatisPlus实现用户登录查库操作

5.1 定义用户登录查库的Service

​ 在用户的登录提交后,跳转到Service层实现用户的查库操作。说明:在本类中未实现用户权限信息获取的查库操作,而是直接模拟了提供了一个用户权限信息。

@Service
public class UserDetailService implements UserDetailsService {
    @Autowired
    SysUserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("用户查库");
        SysUser user = userService.getByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名或密码错误");
        }
        return new DefinedUser(user.getId(), user.getUsername(), user.getPassword(), getUserAuthority(user.getId()));
    }

    /**
     * 获取用户权限信息
     */
    public List<GrantedAuthority> getUserAuthority(Long id) {
        /**
         * 进行查库操作 获取用户权限信息
         */
        // 模拟一个用户权限信息
        String authority = "sys:user:list,sys:resident:list";
        return AuthorityUtils.commaSeparatedStringToAuthorityList(authority);
    }
}

5.2 Security配置

​ 添加查库操作后,用户登录表单提交,要实现用户查库操作,验证用户名和密码,配置文件中需要引入加密方式以及用户验证查库的Service。

// 类开始引入密码加密方式
// 密码加密形式
@Bean
BCryptPasswordEncoder bCryptPasswordEncoder() {
    return new BCryptPasswordEncoder();
}

// 类中实现方法
@Override
protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
    authenticationManagerBuilder.userDetailsService(userDetailService);
}

6 Security配置添加权限验证

​ 在Security配置类中,添加以下注解,开启全局权限验证。

/**
 * Security配置类
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启全局安全检查(权限判断)
public class SecurityConfig extends WebSecurityConfigurerAdapter...

6.1 添加用户没有权限的异常处理器

/**
 * 用户没有接口 访问权限 处理器
 */
@Component
public class UserNotAuthorityHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=UTF-8");

        // 权限不足 返回 403
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        ServletOutputStream outputStream = httpServletResponse.getOutputStream();

        outputStream.write(JSONUtil.toJsonStr(Result.failure(e.getMessage())).getBytes("UTF-8"));
        outputStream.flush();
        outputStream.close();
    }
}

6.2 Security配置中进行相关配置

// 异常处理
.and()
.exceptionHandling()
.authenticationEntryPoint(userNotAuthenticated) // 用户未认证异常处理
.accessDeniedHandler(userNotAuthorityHandler) // 权限不组处理器

结果测试

// 模拟一个用户权限信息
String authority = "sys:user:list,sys:resident:list";

// 测试Controller中 权限的鉴定方式如下
@PreAuthorize("hasAuthority('sys:user:list')") // 菜单权限鉴定
@GetMapping("/test/list")
public Result testPermMenu(){
    return Result.success("用户有该菜单或按钮的访问权限");
}

@PreAuthorize("hasRole('admin')") // 角色权限鉴定
@GetMapping("/test/admin")
public Result testPermRole(){
    return Result.success("用户角色有访问权限");
}

在这里插入图片描述
在这里插入图片描述

.Strive..
关注
  • 14
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot +spring security,登录用户数据获取
weixin_40991408的博客
05-21 1246
Springboot +spring security,登录用户数据获取
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
springsecurity
weixin_50458070的博客
02-01 793
实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件Java自定义配置用来管理用户信息,是UserDetailsService的一个实现,用来管理基于内存的用户信息。创建一个WebSecurityConfig文件:定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager​@EnableWebSecurity//Spring项目总需要添加此注解,SpringBoot项目中不需要​。
springboot项目中使用shiro实现用户登录以及权限的验证
做笔记\记录遇到的程序bug
11-02 4732
建立spring boot项目。 目录结构这个样子的 项目的jar包依赖 <dependencies> <!--整合shiro subject:用户 security manager:管理所有的用户 realm:连接数据库 --> <dependency> <groupId>org.apache.shiro&lt
7-SpringSecurity:获取已登录用户信息,java高级开发面试经验
2401_83977825的博客
03-30 759
这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:以上就是本文的全部内容,希望对大家的面试有所帮助,祝大家早日升职加薪迎娶白富美走上人生巅峰!另外,给大家安排了一波学习面试资料:[外链图片转存中…(img-Qm20CVD0-1711805531136)][外链图片转存中…(img-GC2JTRGQ-1711805531137)]以上就是本文的全部内容,希望对大家的面试有所帮助,祝大家早日升职加薪迎娶白富美走上人生巅峰!
详解Spring Security中获取当前登录用户的详细信息的几种方法
acerren的博客
08-14 4843
下面就来详细讲解一下Spring Security获取当前登录用户的详细信息的几种方法。
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot+ spring security实现登录认证
05-04
本文将深入探讨这两个技术的核心概念、配置以及如何整合实现用户登录认证功能。 SpringBoot是Spring框架的一个简化版本,它通过自动配置和嵌入式服务器简化了Java应用程序的开发过程。Spring Security则是一个...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
在这个项目中,SpringSecurity被用来处理用户登录、角色权限分配和防止非法请求。 3. **JPA**:Java Persistence API是Java平台上的ORM(对象关系映射)规范,它允许开发者以面向对象的方式操作数据库,将数据对象...
SpringBoot+SpringSecurity整合实现登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
springBoot整合springSecurity(认证)
qingqingyyds的博客
10-14 2099
Spring Security是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。
SpringBoot 3.2.1 + SpringSecurity 3.2.1 + JWT 实现登录鉴权
ICanForYou的博客
01-17 622
文档已验证, 非垃圾文, 欢迎各位大佬斧正.
SpringSecurity(二): Springboot 3.2.1 整合 SpringSecurity 完成授权
zhw74101的博客
01-19 590
Override//1.根据用户名查询用户信息//2.TODO 查询该用户权限列表并整合对象//按照security需求,将本地的 role 置换成 GrantedAuthority//springsecurity需要的权限类型为:SimpleGrantedAuthority//每个角色需要提供 "ROLE_" 前缀,@Data//为了满足security权限校验,提供装在权限的集合并通过getAuthorities返回@Override。
【Spring Security】springboot + mybatis-plus + mysql 密码加密存储下的数据库用户验证登录
锥栗的博客
05-29 1351
前言 配置 编码 config.SecurityConfig package org.sample.config; import com.alibaba.fastjson.JSON; import org.sample.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import or
spring boot读取yml配置注意点记录
xiaolegeaizy的博客
07-04 444
spring boot yml配置玄机
Spring Boot中的响应式编程
最新发布
07-06 287
响应式编程是一种基于异步数据流的编程范式,通过观察者模式实现数据流和变化的传播。今天我们将探讨Spring Boot中的响应式编程,这是一种现代化的编程范式,特别适用于需要高并发和高性能的应用场景。通过本文,我们了解了Spring Boot中响应式编程的基本概念和使用方法,以及它的优势和适用场景。:响应式编程利用非阻塞I/O和异步处理,能够处理大量并发请求而不会阻塞线程,提升了系统的吞吐量和性能。:使用函数式编程风格来处理数据流,简化了代码的编写和维护,提升了代码的可读性和可维护性。
使用Spring Boot和Apache Camel集成第三方服务
07-06 227
Spring Boot是构建微服务应用的理想框架之一,它提供了便捷的依赖管理和自动化配置,与Apache Camel的集成使得开发人员可以快速地构建和部署集成解决方案,实现系统间的数据交换和业务流程的自动化。:Spring Boot Actuator与Apache Camel集成,提供了对路由和组件的监控和管理功能,有助于实时查看和调整集成解决方案的性能和状态。:Apache Camel提供丰富的组件和模板,支持各种协议和数据格式的集成,使得系统架构更加灵活和可扩展。在Spring Boot项目的。
Spring Boot与Spring MVC的区别和联系
技术研究中心
07-06 324
Spring Boot简化了Spring应用的开发过程,而Spring MVC则提供了构建Web应用的强大功能。Spring Boot集成了Spring MVC的所有功能,通过自动配置简化了Spring MVC应用的搭建过程。Spring Boot和Spring MVC是互补的技术,Spring Boot包含并扩展了Spring MVC。Spring Boot内置了Tomcat服务器,开发者无需额外配置,只需运行Spring Boot应用即可启动内置服务器并部署Spring MVC应用。
springboot整合spring security 实现用户登录注册与鉴权全记录,权限从数据库中查询
03-30
首先,需要在pom.xml中加入spring security和相关依赖文件: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-data</artifactId> </dependency> ``` 接着,在application.properties中配置数据库信息: ``` spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=UTC spring.datasource.username=root spring.datasource.password=123456 spring.datasource.driver-class-name=com.mysql.jdbc.Driver ``` 然后,创建用户表和权限表,用来存储用户权限信息。用户表包括用户名和密码,权限表包括权限名称和对应的URL。 接下来,创建UserDetailService实现类,用于从数据库中读取用户信息。代码如下: ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserDao userDao; @Override public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException { User user = userDao.findByUserName(userName); if (user == null) { throw new UsernameNotFoundException("用户名不存在"); } List<GrantedAuthority> authorities = new ArrayList<>(); List<Role> roles = user.getRoles(); for (Role role : roles) { authorities.add(new SimpleGrantedAuthority(role.getRoleName())); } return new org.springframework.security.core.userdetails.User(user.getUserName(), user.getPassword(), authorities); } } ``` 然后,创建SecurityConfig类,用于配置Spring Security。代码如下: ``` @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 其中,configure方法用于配置请求的权限,configureGlobal方法用于设置自定义的UserDetailsService,passwordEncoder方法用于设置密码加密方式。 最后,创建UserController类,用于处理用户登录注册和鉴权请求。代码如下: ``` @RestController public class UserController { @Autowired private UserDao userDao; @Autowired private PasswordEncoder passwordEncoder; @PostMapping("/register") public String register(@RequestParam String userName, @RequestParam String password) { User user = userDao.findByUserName(userName); if (user != null) { return "用户名已存在"; } user = new User(); user.setUserName(userName); user.setPassword(passwordEncoder.encode(password)); userDao.save(user); return "注册成功"; } @PostMapping("/login") public String login(@RequestParam String userName, @RequestParam String password) { try { UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(userName, password); Authentication authentication = authenticationManager().authenticate(token); SecurityContextHolder.getContext().setAuthentication(authentication); return "登录成功"; } catch (Exception e) { return "用户名或密码错误"; } } @GetMapping("/admin") @PreAuthorize("hasRole('ADMIN')") public String admin() { return "管理员权限"; } @GetMapping("/user") @PreAuthorize("hasAnyRole('USER','ADMIN')") public String user() { return "用户权限"; } } ``` 其中,register方法用于处理用户注册请求,login方法用于处理用户登录请求,admin和user方法用于处理鉴权请求。 至此,整合spring security实现用户登录注册与鉴权全记录,权限从数据库中查询的操作已经完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值