基于Spring Security的权限管理系统代码实现,其中使用MySQL数据库存储用户信息、角色信息和权限信息,并使用了用户-角色-权限三级设计。
首先,需要在MySQL数据库中创建三个表,分别是users
、roles
和permissions
。创建表的SQL语句如下:
CREATE TABLE `users` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(50) NOT NULL,
`password` varchar(255) NOT NULL,
`enabled` tinyint(1) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `username` (`username`)
);
CREATE TABLE `roles` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(50) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `name` (`name`)
);
CREATE TABLE `permissions` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(50) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `name` (`name`)
);
CREATE TABLE `user_roles` (
`user_id` int(11) NOT NULL,
`role_id` int(11) NOT NULL,
PRIMARY KEY (`user_id`,`role_id`),
KEY `fk_user_roles_role` (`role_id`),
CONSTRAINT `fk_user_roles_user` FOREIGN KEY (`user_id`) REFERENCES `users` (`id`),
CONSTRAINT `fk_user_roles_role` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`)
);
CREATE TABLE `role_permissions` (
`role_id` int(11) NOT NULL,
`permission_id` int(11) NOT NULL,
PRIMARY KEY (`role_id`,`permission_id`),
KEY `fk_role_permissions_permission` (`permission_id`),
CONSTRAINT `fk_role_permissions_role` FOREIGN KEY (`role_id`) REFERENCES `roles` (`id`),
CONSTRAINT `fk_role_permissions_permission` FOREIGN KEY (`permission_id`) REFERENCES `permissions` (`id`)
);
上述SQL语句创建了users
、roles
和permissions
三个表,以及两个关系表user_roles
和role_permissions
,用于存储用户和角色、角色和权限之间的关联关系。
接下来,创建Spring Security的配置类SecurityConfig
,配置用户认证、授权和注销等功能。具体代码如下:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/public/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.logout().logoutUrl("/logout").logoutSuccessUrl("/login").invalidateHttpSession(true).deleteCookies("JSESSIONID");
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/css/**", "/js/**", "/images/**");
}
}
上述代码中,SecurityConfig
类继承了WebSecurityConfigurerAdapter
类,并使用了@EnableWebSecurity
注解开启了Web Security功能。
在configure(AuthenticationManagerBuilder auth)
方法中,通过调用userDetailsService()
方法并传入userDetailsService
对象,来配置用户认证功能。这里使用了BCryptPasswordEncoder
对象对密码进行加密。
在configure(HttpSecurity http)
方法中,使用authorizeRequests()
方法配置了URL请求的访问规则。其中,antMatchers()
方法用于匹配URL请求,hasRole()
方法用于指定角色名称,permitAll()
方法表示允许任何人访问,authenticated()
方法表示需要认证才能访问。
接着,调用formLogin()
方法启用了表单登录功能。默认情况下,Spring Security使用/login
作为登录页面的URL。如果需要自定义登录页面,可以在formLogin()
方法中使用loginPage()
方法指定。
最后,调用logout()
方法配置了注销功能。其中,logoutUrl()
方法指定了注销URL,logoutSuccessUrl()
方法指定了注销成功后跳转的页面,invalidateHttpSession()
方法用于使HTTP Session失效,deleteCookies()
方法用于删除指定名称的cookie。
接下来,创建CustomUserDetailsService
类,实现UserDetailsService
接口,用于从MySQL数据库中查询用户信息。具体代码如下:
@Service
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException("User not found");
}
return new CustomUserDetails(user);
}
}
上述代码中,使用@Service
注解将CustomUserDetailsService
类注册为Spring Bean。在loadUserByUsername()
方法中,调用userRepository.findByUsername()
方法查询指定用户名的用户信息,并将查询结果封装为CustomUserDetails
对象返回。
接下来,创建CustomUserDetails
类,实现UserDetails
接口,用于封装用户信息和角色信息。具体代码如下:
public class CustomUserDetails implements UserDetails {
private User user;
private List<Role> roles;
public CustomUserDetails(User user) {
this.user = user;
this.roles = new ArrayList<>(user.getRoles());
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
List<GrantedAuthority> authorities = new ArrayList<>();
for (Role role : roles) {
authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
for (Permission permission : role.getPermissions()) {
authorities.add(new SimpleGrantedAuthority(permission.getName()));
}
}
return authorities;
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUsername();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return user.isEnabled();
}
}
上述代码中,CustomUserDetails
类实现了getAuthorities()
方法,用于获取用户拥有的权限。在这个方法中,遍历用户拥有的所有角色和权限,并将它们封装为SimpleGrantedAuthority
对象,添加到authorities
集合中返回。
最后,创建UserRepository
接口,继承JpaRepository
接口,用于定义查询用户信息的方法。具体代码如下:
@Repository
public interface UserRepository extends JpaRepository<User, Long> {
User findByUsername(String username);
}
上述代码中,使用@Repository
注解将UserRepository
接口注册为Spring Bean。在UserRepository
接口中,定义了findByUsername()
方法,用于根据用户名查询用户信息。
至此,基于Spring Security的权限管理系统代码实现完成。