springsecurity自定义数据库模型的认证与授权

已于 2022-10-04 23:24:11 修改
阅读量684 收藏
点赞数
分类专栏: SpringSecurity 文章标签: 数据库 mybatis spring
于 2022-10-04 23:23:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45880043/article/details/127167723
版权

部分控制器代码参考Spring Security默认数据库模型的认证于授权

1. 引入依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--        其他spring-security依赖-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.7.3</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.7.3</version>
        </dependency>

        <!-- 数据库依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
            <version>2.7.3</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.30</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.24</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>

        <!-- aop-->
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-aop</artifactId>
            <version>5.3.23</version>
        </dependency>


        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>

2. 数据库准备


create table users(
	id bigint(20) not null auto_increment,
	username varchar(50) not null,
	password varchar(60),
	enable tinyint(4) not null default 1 comment '用户是否可用',
	roles text character set utf8 comment '用户角色,多个角色之间用逗号隔开',
	primary key(id),
	key username (username)
);

insert into users(username, password, roles) values ('admin', '123', 'ROLE_ADMIN;ROLE_USER');
insert into users(username, password, roles) values ('user', '123', 'ROLE_USER');

用户信息和角色放在同一张表中,roles字段设定为text,多个角色之间通过逗号隔开,也可用通过分号等其他字符隔开。

  • 在入口类MapperScan指定mybatis要扫描的映射文件目录
    在这里插入图片描述

3. 实现UserDetails

3.1 实现xxx.xxx.config.WebSecurityConfig.java

package com.lzd.springsecuritydemo.config;

import jdk.nashorn.internal.runtime.logging.Logger;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author li
 * @date 2022年10月03日 16:12
 */

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter  {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                // 只对ADMIN角色放行
                .antMatchers("/admin/api/**").hasRole("ADMIN")
                .antMatchers("/user/api/**").hasRole("USER")
                .antMatchers("/app/api/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin().permitAll()
                .and()
                .csrf().disable();
    }
}

3.2 在pojo包下创建User.java类,继承UserDetails

package com.lzd.springsecuritydemo.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.List;

/**
 * @author li
 * @date 2022年10月04日 16:53
 * @Description
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User implements UserDetails {
    private Long id;

    private String username;

    private String password;

    private String roles;

    private boolean enable;

    private List<GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }


    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return this.enable;
    }
}

实现UserDetails定义的几个方法:

  • isAccountNonExpired、isAccountNonLocked、isCredentialsNonExpired暂时用不到,统一返回true,否则会账号异常。
  • isEnabled对映enable字段。
  • getAuthorities方法本身对应的是roles字段

3.3 在mapper下实现UserMapper接口

package com.lzd.springsecuritydemo.mapper;

import com.lzd.springsecuritydemo.pojo.User;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Component;

/**
 * @author: li
 * @date: 2022年10月04日 17:03
 * @description: TODO
 */

@Component
public interface UserMapper {
    @Select("select * from users where username=#{username}")
    User findByUserName(@Param("username") String username);
}

3.4 在service下编写UserDetailsService

package com.lzd.springsecuritydemo.service;

import com.lzd.springsecuritydemo.mapper.UserMapper;
import com.lzd.springsecuritydemo.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

/**
 * @author: li
 * @date: 2022年10月04日 17:06
 * @description: TODO
 */
@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库中查询用户
        User user = userMapper.findByUserName(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }

        // AuthorityUtils.commaSeparatedStringToAuthorityList是spring security提供的 默认根据
        // 逗号分割权限字符集字符串切割成可用权限对象列表
        //user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));

        // 使用自定义的分隔方法
        user.setAuthorities(generateAuthorities(user.getRoles()));
        return user;
    }

    /**
     * 自行实现通过分号隔开权限集字符串
     * @param roles
     * @return
     */
    private List<GrantedAuthority> generateAuthorities(String roles) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        if (roles != null && !"".equals(roles)) {
            String[] roleArray = roles.split(";");
            for (String role : roleArray) {
                // SimpleGrantedAuthority是GrantedAuthority是一个实现类
                authorities.add(new SimpleGrantedAuthority(role));
            }
        }
        return authorities;
    }
}

4.启动测试

执著者√
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security系列】Spring Security自定义数据库模型认证授权
qq_28248897的博客
06-29 392
Spring Security适应系统,而非让系统适应Spring Security,是Spring Security框架开发者和使用者的共识。 下面我们将使用自定义数据库模型接入Spring Security数据库依然是MySQL,持久层框架则选用MyBatis(倾向于使用JPA的读者也可以自行选型,它们在Spring Security部分的实践是一样的)。旁枝末节的知识会点到即止,我们重点介绍Spring Security相关的内容,所以期望读者自行阅读相关资料,也可以选择暂时略过 在前面的博客
万字长文,SpringSecurity
mySoul
06-30 967
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
Spring Security自定义数据库
来啊 快活啊
06-14 1237
[org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl]类中定义了三条sql语句和三个相关的方法:public static final String DEF_USERS_BY_USERNAME_QUERY = "select username,password,enabled " + "from use
SpringSecurity自定义认证
张氏小毛驴的博客
08-11 4825
​ 学习了SpringSecurity的使用,以及跟着源码分析了一遍认证流程,掌握了这个登录认证流程,才能更方便我们做自定义操作。​ 下面我们来学习下怎么实现多种登录方式,比如新增加一种邮箱验证码登录的形式,但SpringSecurity默认的Usernamepassword方式不影响。自定义一个邮箱验证码的认证,将邮箱号码作为key,验证码作为value存放到Redis中缓存。首先回顾下之前源码分析的认证流程,如下图:首先前端是填写邮箱,点击获取验证码输入获取到的验证码,点击登录按钮,发送登录接口(/em
SpringSecurity自定义授权
最新发布
qq_58137891的博客
05-10 381
1.在LoginUser类中新增一个List属性一个List属性,包含着权限信息2.重写getAuthorities()方法(因为权限信息需要从该方法中取得),将List封装到List中对应getAuthorities方法的返回值。3.对List属性取消JSON序列化,否则反序列化会出错。
spring security自定义数据库小项目
12-20
**Spring Security 自定义数据库小项目概述** Spring Security 是一个强大且高度可定制的身份验证和访问控制框架,用于保护 Java 应用程序。本项目旨在演示如何利用 Spring Security 的灵活性,将权限管理与数据库...
Spring security认证授权
11-30
Spring Security默认的用户实体是`UserDetails`,你可以创建一个自定义的`UserDetails`实现类,比如`SysUserDetails`,并映射到`SysUser`数据库模型。 - 如果需要动态增加数据库表字段,可能需要在应用启动时删除...
spring security的学习-3. 自定义数据库表结构.doc
06-03
在本篇关于“Spring Security的学习-3. 自定义数据库表结构”的文档中,我们将...通过理解并适应现有的数据库模型,我们可以有效地集成Spring Security,使其适应企业的具体需求,实现安全、灵活的用户认证授权机制。
spring mvc 和spring security自定义登录
05-14
综上所述,结合Spring MVC和Spring Security实现自定义登录,需要理解两者的基本原理,配置合适的过滤器、认证提供者和授权规则。通过这种方式,我们可以创建一个既安全又易于维护的Web应用程序,为用户提供安全的...
Spring Security 将用户数据存入数据库
09-07
`JdbcUserDetailsManager` 内置了一个简单的数据库模型,其相关的DDL脚本可以在 `org/springframework/security/core/userdetails/jdbc/users.ddl` 文件中找到。这个模型包含了两个表:`users` 和 `authorities`。 ...
Spring Security登录账户自定义与数据持久化(5)
weixin_43831002的博客
08-03 1027
在前面的案例中,我们的登录用户是基于配置文件来配置的(本质是基于内存),但是在实际开发中,这种方式肯定是不可取的,在实际项目中,用户信息肯定要存入数据库之中。Spring Security支持多种用户定义方式,接下来我们就逐个来看一下这些定义方式。...
spring security使用数据库认证
qq_42338293的博客
03-21 323
Spring Security中如果想要使用数据进行认证操作,有很多种操作方式,这里我们介绍使用UserDetails、 UserDetailsService来完成操作。 UserDetails public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities(); String getPassword(); String getU
Spring Boot 之 Spring Security基于数据库认证
探索er的博客
05-08 1549
Spring Security基于数据库认证
spring security实现表单登录以及自定义URL权限认证
coolwind的博客
03-03 5464
本文主要介绍怎么快速搭建一个带spring security安全认证的应用,其他基础介绍,基本操作,内容原理略过,着重介绍实现步骤,如需详细了解请阅读相关文档。 0.环境 jdk 1.8 spring boot MySQL 5 需要准备5张表: 以上为5张表需要的字段,可根据实际需求变更 1.引入spring security 创建一个spring boot工程,在pom....
SpringSecurity基本原理以及自定义用户认证逻辑
不清不慎的博客
04-14 9046
对于网站,安全问题是不容忽视的,在用户登录时我们需要对用户密码进行校验,我们可以自己来编写逻辑,不过Spring Security框架给我提供了一套很强大安全框架,本文是一篇SpringSecurity入门级的文章,主要介绍其基本原理与认证流程以及使用。 Spring Security 1.搭建Spring Security框架 这里在搭建Spring Security框架之前你需要搭建...
SpringSecurity专题(五)-数据库认证
刘树之的博客
09-02 210
文章目录1.mybatis准备1.1.导入相关依赖1.2.配置文件1.3.Mybatis的配置文件1.4.和spring的整合文件1.5.pojo文件1.6.dao接口1.7.映射文件1.8.service2.service修改2.1.UserService继承UserDetailService接口2.2.重写loadUserByusername方法3.配置文件修改4.登录测试5.加密处理6.认证状态判断 上篇文章我们介绍了SpringSecurity系统认证的流程,我们发现系统认证其实是通过一个UserD
Spring Security使用数据库登录认证授权
Charge8的博客
01-03 4623
Spring Security使用数据库登录认证授权
Spring Security系列教程10--基于自定义数据库模型实现授权
一一哥
09-17 1309
前言 在上一个章节中,一一哥 给大家讲解了如何基于默认的数据库模型实现认证授权,在这种模型里,用户的信息虽然是保存在数据库中的,但是有很多的限制!因为我们必须按照源码规定的方式去建库建表,存在灵活性不足的问题。而我们真正开发时,用户角色等表肯定要根据自己的项目需求来单独设计,所以我们有必要进行用户及角色表的自定义设计。 那么在本篇文章中,壹哥 就带各位,结合自己的实际项目需求,进行数据库和表的自定义设计,然后在这个自定义数据库实现用户信息的认证授权工作。 一. 核心API源码介绍 1. Us
SpringSecurity入门与认证授权详解
SpringSecurity提供了灵活的授权模型,支持基于角色的访问控制(Role-Based Access Control, RBAC)和自定义策略。 在会话管理方面,SpringSecurity支持两种常见的方式: - **基于会话的认证**:用户登录成功后,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值