spring security使用数据库表管理账户及其角色

最新推荐文章于 2022-05-27 20:59:19 发布
最新推荐文章于 2022-05-27 20:59:19 发布
阅读量391 收藏
点赞数
分类专栏: 数据库 spring security 文章标签: spring security 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenhao880204/article/details/84377853
版权
前面使用了xml配置文件实现了spring security的登陆的用户验证。然而用户密码这些信息不可能是固定的,我们需要向项目中添加或删除账户,每次都修改配置文件显然是不恰当的,那么我们就需要使用数据库表来保存账户信息,这样才能方便程序对账户进行添加和删除。该示例并不使用太复杂的权限管理,不涉及用户、角色、资源等复杂的关系,仅仅使用数据库来代替了使用配置文件配置的authentication-provider,使用了一个数据库表来存储账户的用户名、密码和角色信息。

数据库表:sec_user 


create table sec_user(
 username varchar(100) primary key,
 password varchar(255),
 role varchar(100)
);


插入数据: 

insert into sec_user values('admin','admin','ROLE_USER,ROLE_ADMIN');
insert into sec_user values('test','test','ROLE_USER');


要使用数据库需要自定义一个UserDetailsService的实现类,该接口有一个方法: 

	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException, DataAccessException {
		return null;
	}

由该方法看到该方法返回一个UserDetails的对象,UserDetails是一个接口,那么这个接口该如何实现呢?答案很简单,使用我们数据库表对应的实体类来实现这个接口就行了。下面看一下实现:


MyUserDetailService.java 

@Service("myUserDetailService")
public class MyUserDetailService implements UserDetailsService {

	@Autowired
	private UserDao userDao;

	public UserDao getUserDao() {
		return userDao;
	}


	public void setUserDao(UserDao userDao) {
		this.userDao = userDao;
	}


	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException, DataAccessException {
		User user = this.userDao.findByUsername(username);
		return user;
	}

}

我采用注解的方法将userDao注入进来,userDao中有一个通过用户名查找用户信息的方法findByUsername。

UserDaoImpl.java 

@Repository("userDao")
public class UserDaoImpl extends HibernateDaoSupport implements UserDao {
	@Autowired
	public void setSessionFactory0(SessionFactory sessionFactory) {
		super.setSessionFactory(sessionFactory);
	}

	public User findByUsername(String username) {
		return this.getHibernateTemplate().get(User.class, username);
	}

}

UserDao接口的实现类,实现了findByUsername方法供loadUserByUsername方法调用。


User.java 

@Entity
@Table(name="SEC_USER")
public class User implements Serializable,UserDetails {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;

	@Id
	@Column(name="USERNAME",unique=true,nullable=false)
	private String username;
	@Column(name="PASSWORD")
	private String password;
	@Column(name="ROLE")
	private String role;
	public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	public String getRole() {
		return role;
	}
	public void setRole(String role) {
		this.role = role;
	}
	public Collection<GrantedAuthority> getAuthorities() {
		List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
		//数据库中使用了逗号作为角色名的分隔符
		String[] roles = this.role.split(",");
		for(String r : roles){
			if(r != null && !"".equals(r)){
				GrantedAuthority authority = new GrantedAuthorityImpl(r);
				authorities.add(authority);
			}
		}
		return authorities;
	}
	public boolean isAccountNonExpired() {
		return true;
	}
	public boolean isAccountNonLocked() {
		return true;
	}
	public boolean isCredentialsNonExpired() {
		return true;
	}
	public boolean isEnabled() {
		return true;
	}
}


代码中getAuthorities和四个is***方法是UserDetails接口需要实现的方法,四个is***方法都需要返回为true账户才能使用。getAuthorities返回该账户所拥有的角色。


applicationContext-security.xml 

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
    <http auto-config="true">
        <intercept-url pattern="/login.html" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
        <intercept-url pattern="/resources/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
        <intercept-url pattern="/**" access="ROLE_USER"/>
        <form-login login-page="/login.html" default-target-url="/index.html"/>
    </http>

    <authentication-manager>
        <authentication-provider user-service-ref="myUserDetailService">
        </authentication-provider>
    </authentication-manager>

</beans:beans>


这里authentication-provider使用了我们自定义的UserDetailService的实现类myUserDetailService。
现在spring security就可以工作了,当我们访问项目的某一个页面时,都会首先跳转到登陆页面login.html,登陆成功后进入index.html页面。
wenhao880204
关注
专栏目录
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 4739
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
一篇文章带你搞定 springsecurity 基于数据库的认证(springsecurity 整合 mybatis)
南淮北安的博客
09-27 3052
文章目录一、前期配置1. 加入依赖2. 数据库脚本二、定义实体类1. 定义 User2. 定义 Role三、定义 Service四、定义 Mapper1. UserMapper2. UserMapper.xml五、定义 SecurityConfig 一、前期配置 1. 加入依赖 <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-sprin
Spring Security使用数据库中的用户进行身份认证
小尘
04-30 1万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:
springBoot+springSecurity 数据库动态管理用户、角色、权限
weixin_34220179的博客
06-23 1962
  使用spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。 三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库...
Spring Security基于数据库配置权限(角色,路径)
热门推荐
pujiaolin的专栏
06-29 1万+
Spring Security基于数据库配置权限(角色,路径) 传统的后台管理系统,在权限处理上通常5个:用户角色,资源,用户角色关联角色资源关联。现在为了避免重复造轮子,自己写拦截处理,我们可以使用Spring Security来做权限控制。 Spring Security官方推荐通过配置来实现角色和资源的对应,这样的问题是假如需要线上配置角色与资源对应就不行了,所以下面
SpringSecurity接入mysql实现用户角色控制
weixin_43979743的博客
05-27 193
权限的设计 用户: user 2.角色:role ​ 3.用户角色关联:user_role uid 示 用户中的id rid角色中的id 用户登陆成功之后,可以拿到id ,然后根据uid去找rid,通过rid就可以找到角色中的角色了 2.实体类的创建 ​ 1:注意事项,实现UserDetails接口,里面有7个方法需要全部实现, ​ 2:数据库中的角色需要以"_"下划线开头,否找需要在SimpleGrantedAuthority 中添加 ..
Spring Security数据库身份认证和角色授权
学不死就往死里学
01-31 840
一、创建项目 整体项目结构 1、创建一个 SpringBoot 模块项目,添加需要用到的依赖 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <!--lombok--> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency> <!-
Spring security基于数据库账户密码认证
08-24
以下是一个简单的示例代码,演示如何使用 Spring Security 基于数据库账户密码认证。 新建一个 JavaWeb 工程,导入相关依赖,pom 文件的内容如下: pom 文件 ``` <modelVersion>4.0.0 <groupId>...
Spring Security 将用户数据存入数据库
09-07
本篇主要讨论如何使用Spring Security 将用户数据存入数据库,以便更好地理解和应用这个框架。 首先,Spring Security 提供了 `UserDetailsService` 接口,该接口是连接数据源与安全机制的关键。它允许我们从不同的...
Spring Security 使用自定义界面及数据库登录认证
Ronz 的博客
06-23 1612
一、 Spring Security 登录进阶 由上一篇文章《初识 Spring Security》可以知道,在默认情况下,Spring Security 会为我们提供一个默认的登录界面。但是 Spring Security 提供的登录界面从美感上而言,简直是毫无美感,所以我们往往需要自己指定登录界面。 而登录界面的指定,则需要借助于 http 元素下的 form-login 元素来定义单登录的信息。 1.1 关于登录的几个重要属性 username-parameter 示登录时用户名使用的是前端页
spring security 学习二(通过数据库用户实现身份认证,权限识别)
bird_tp的博客
06-04 943
一、Spring Security认证具体实现 Spring Security通过filter来控制web应用的安全,但filter自己不干事,分别委托给了认证管理器和决策管理器,认证管理器和决策管理器再分别委托给Provider和Voter,就这样一级级委托下来,委托的最底层就是需要我们根据实际情况实现的逻辑。可以看下图: 根据我们这次的目标,想用数据库来储存用户的认证数据,那么我们就需要一个操作数据库的Provider,这个Spring Security内部已经有了实现,就是DaoAuthent
Spring Security】三、自定义数据库实现对用户信息和权限信息的管理
weixin_34163553的博客
07-02 342
一 自定义结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改。这里只要新建三张即可,user、role、user_role。其中user用户,role角色为保存用户权限数据的主,user_role为关联。user用户,role角色之间为多对多关系,就是说一个用户可以有多个角色。ER图如下所示: 建语句: -- 角色 create table...
Spring Security教程(4)---- 数据库结构的创建
mark's technic world
09-23 1167
PD建模图 建模语句 [sql] view plaincopy alter table SYS_AUTHORITIES_RESOURCES      drop constraint FK_SYS_AUTH_REFERENCE_SYS_AUTH;      alter table SYS_AUTHORIT
spring security之自定义数据库结构
远方的少年
03-18 4574
    上一讲中我们说了,我们可以采用spring security默认使用数据库结构,就是users和authiration,但是在实际开发中,用户通常都是各式各样的,需要根据自己的业务场景来设计,这就要用到了自定义数据库结构来配合spring security使用了。  首先我们来建立三个。 CREATE TABLE role( id BIGINT AUTO_INCREM...
Spring Security 可以同时对接多个用户
江南一点雨的专栏
07-14 8497
文章目录1.原理1.1 Authentication1.2 AuthenticationManager1.3 ProviderManager1.4 AuthenticationProvider2.案例3.小结 这个问题也是来自小伙伴的提问: 其实这个问题有好几位小伙伴问过我,但是这个需求比较冷门,我一直没写文章。 其实只要看懂了松哥前面的文章,这个需求是可以做出来的。因为一个核心点就是 ProviderManager,搞懂了这个,其他的就很容易了。 今天松哥花一点时间,来和大家分析一下这个问题的核心,同时
关于spring-security权限管理设计
李昊(Java)
07-27 4659
最近学习spring-security发现一般需要5张来完成。 User   就是用户 Role  就是角色 User-Role  用户角色 Resource  资源 Role-Resource 角色资源
Spring Boot集成Security使用数据库用户角色权限ROLE_问题
程序员光剑
04-30 8857
问题描述 日志打出来的ROLE是USER,代码里调用的是@PreAuthorize("hasRole('USER')"),为什么权限却是不对? 后台打印日志: username is jack, USER LoginFilter:{ "accountNonExpired":true, "accountNonLocked":true, "authoritie...
SpringSecurity基于数据库认证以及权限管理
dy051107的博客
06-02 810
上一篇对SpringSecurity做了基本介绍,以及做了一个基于内存用户认证的小栗子,在企业开发中,都会连接数据库来做认证,那怎么来基于数据库做认证呢,今天我们就动手练习下,我们使用的环境呢,springboot+springsecurity+mybaits+mysql来搭建。 没有mysql数据库环境的小伙伴,可以看下我之前的文章,来安装mysql docker安装mysql 安装完数据库后,创建一个名为SpringSecurity的schema数据库,导入两个,一个...
Spring Security数据库认证实现详解
"本文将深入探讨如何在Spring Security框架中实现基于数据库账户密码认证机制,通过具体的示例代码和步骤解析,帮助读者理解和掌握这一关键功能。" 在Spring Security框架中,实现基于数据库账户密码认证是确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值