Spring Security使用数据库登录认证授权
作者:Charge8 发布时间:2024-01-23 05:26:59
一、搭建项目环境
1、创建 RBAC五张表
RBAC,即基于角色的权限访问控制(Role-Based Access Control),就是用户通过角色与权限进行关联。
在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
在 MySQL数据库中,创建如下几个表:
DROP TABLE IF EXISTS sys_user;
CREATE TABLE sys_user(
id BIGINT NOT NULL AUTO_INCREMENT COMMENT '主键id' ,
username VARCHAR(60) COMMENT '用户名' ,
password VARCHAR(255) COMMENT '密码' ,
status tinyint(1) COMMENT '用户状态,1-开启-0禁用' ,
password_non_expired tinyint(1) COMMENT '密码是否失效,1-可用,0-失效' ,
PRIMARY KEY (id)
) COMMENT = '用户表';
DROP TABLE IF EXISTS sys_role;
CREATE TABLE sys_role(
id BIGINT NOT NULL AUTO_INCREMENT COMMENT '主键id' ,
role_name VARCHAR(64) NOT NULL COMMENT '角色名' ,
role_desc VARCHAR(64) NOT NULL COMMENT '角色描述' ,
PRIMARY KEY (id)
) COMMENT = '角色表';
DROP TABLE IF EXISTS sys_permission;
CREATE TABLE sys_permission(
id BIGINT NOT NULL AUTO_INCREMENT COMMENT '主键id' ,
parent_id BIGINT COMMENT '父id' ,
permission_name VARCHAR(64) COMMENT '菜单名称' ,
permission_url VARCHAR(255) COMMENT '菜单地址' ,
PRIMARY KEY (id)
) COMMENT = '权限表';
DROP TABLE IF EXISTS sys_user_role;
CREATE TABLE sys_user_role(
id BIGINT NOT NULL AUTO_INCREMENT COMMENT '主键id' ,
user_id BIGINT NOT NULL COMMENT '用户id' ,
role_id BIGINT COMMENT '角色id' ,
enabled tinyint(1) DEFAULT 1 COMMENT '是否有效' ,
PRIMARY KEY (id)
) COMMENT = '用户角色关联表';
DROP TABLE IF EXISTS sys_role_permission;
CREATE TABLE sys_role_permission(
id BIGINT NOT NULL AUTO_INCREMENT COMMENT '主键id' ,
role_id BIGINT NOT NULL COMMENT '角色id' ,
permission_id BIGINT COMMENT '权限id' ,
PRIMARY KEY (id)
) COMMENT = '角色权限表';
2、创建项目
创建 Mavne 项目,Springboot + Spring Security + MyBatis + MySQL + jsp。
1)配置文件如下
server:
port: 9090
# jsp配置
spring:
mvc:
view:
prefix: /pages/
suffix: .jsp
datasource:
driver-class-name: com.mysql.cj.jdbc.Driver
url: jdbc:mysql://localhost:3306/security_authority?useUnicode=true;characterEncoding=utf8;useSSL=true;serverTimezone=GMT
username: root
password: 123456
# mybatis配置
mybatis:
configuration:
map-underscore-to-camel-case: true
mapper-locations: classpath:mybatis/mapper/*.xml
logging:
level:
com.charge.learn.springsecurity.springboot.security.jsp.dao: debug
2)启动类
@SpringBootApplication
@MapperScan("com.charge.learn.springsecurity.springboot.security.jsp.dao")
public class SpringSecurityApplication {
public static void main(String[] args) {
SpringApplication.run(SpringSecurityApplication.class, args);
}
}
二、整合 Spring Security实现用户认证
1、后端整合
1.1 用户
Spring Security的用户对象是 UserDetail类型,Spring Security在认证流程中只认 UserDetail用户。
通过
UserDetailsService的 loadUserByUsername方法获取 UserDetail用户。认证成功之后,调用的是这个带有三个参数的 UsernamePasswordAuthenticationToken构造方法,将 角色信息添加到了
ArrayList<GrantedAuthority>集合中。在 successfulAuthentication 方法中,将认证信息存储到了SecurityContext中。
UserDetail接口的方法(根据用户业务来处理这几个值)。
boolean enabled 账户是否可用
boolean accountNonExpired 账户是否失效
boolean credentialsNonExpired 账户密码是否失效
boolean accountNonLocked 账户是否锁定
Collection<? extends GrantedAuthority> getAuthorities() 获取账户的所有权限(用户角色)
注意:四个布尔类型的参数都为 true时,然后成功,否则,有一个为 false,就会认证失败。
所以,我们可以将我们的用户封装成 UserDetail对象。
这里我们让用户对象实现 UserDetail接口,那么我们用户就属于 UserDetail类型的用户,然后实现接口的方法。
public class SysUser implements UserDetails {
private Long id;
private String username;
private String password;
private Boolean status; //用户状态,1-开启-0禁用
private Boolean passwordNonExpired; //密码是否失效,1-可用,0-失效
/**
* 用户关联的所有角色
*/
private List<SysRole> roles = new ArrayList<>();
//get、set方法
//标记该字段不做json处理
@JsonIgnore
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return roles;
}
@JsonIgnore
@Override
public boolean isAccountNonExpired() {
return true;
}
@JsonIgnore
@Override
public boolean isAccountNonLocked() {
return true;
}
@JsonIgnore
@Override
public boolean isCredentialsNonExpired() {
return passwordNonExpired == null ? false : passwordNonExpired;
}
@JsonIgnore
@Override
public boolean isEnabled() {
return status == null ? false : status;
}
}
1.2 角色
Spring Security的权限对象是 GrantedAuthority类型。通过它的值来实现权限管理的。
所以,我们让角色对象实现GrantedAuthority接口,那么我们角色就属于 GrantedAuthority类型,然后实现接口的方法。
上面用户可以直接将 角色添加到 Collection<? extends GrantedAuthority>集合中。
public class SysRole implements GrantedAuthority {
private Long id;
private String roleName;
private String roleDesc;
//get、set方法
//标记该字段不做json处理
@JsonIgnore
@Override
public String getAuthority() {
return roleName;
}
}
1.3 SysUserService接受继承UserDetailsService类
Spring Security在认证流程中通过 UserDetailsService的 loadUserByUsername方法获取 UserDetail用户。
所以,我们让 UserService接口继承 UserDetailsService类,然后重写 loadUserByUsername方法。
在 loadUserByUsername方法中,获取我们的用户信息( UserDetail类型),记得将用户关联的角色也赋值为用户信息。
public interface SysUserService extends UserDetailsService {
void save(SysUser user);
}
@Service
@Transactional
public class SysUserServiceImpl implements SysUserService {
@Autowired
private SysUserMapper sysUserMapper;
@Autowired
private SysRoleMapper sysRoleMapper;
@Autowired
private BCryptPasswordEncoder passwordEncoder;
@Override
public void save(SysUser sysUser) {
// 将密码加密入库
sysUser.setPassword(passwordEncoder.encode(sysUser.getPassword()));
sysUserMapper.insert(sysUser);
}
/**
* 认证业务
*
* @param username
* - 用户在浏览器输入的用户名
* @return UserDetails - Spring Security的用户对象,返回 null表示认证失败!
* @throws UsernameNotFoundException
*/
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
/**
* 用户信息和角色信息可以一步关联查询到位得到SysUser,我这里分开查询
*/
// 1.查询用户
SysUser sysUser = sysUserMapper.getByUsername(username);
if (sysUser == null) {
return null;
}
// 2.获取用户关联的所有角色
List<SysRole> sysRoles = sysRoleMapper.listAllByUserId(sysUser.getId());
sysUser.setRoles(sysRoles);
System.out.println("====> sysUser=" + sysUser.toString());
return sysUser;
}
}
mapper.xml中的几个方法
<select id="getByUsername" resultMap="BaseResultMap">
select id, username, password, status, password_non_expired from sys_user where username = #{username}
</select>
<select id="listAllByUserId" resultMap="BaseResultMap">
SELECT r.id, r.role_name role_name, r.role_desc role_desc
FROM sys_role r, sys_user_role ur
WHERE r.id = ur.role_id AND ur.user_id = #{userId}
</select>
1.4 创建 SpringSecurity配置类
自定义一个配置类,添加@EnableWebSecurity注解,并继承WebSecurityConfigurerAdapter类。然后就拥有了 SpringSecutiry的所有默认配置。我们也可以修改配置。
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private SysUserService userService;
// 加密对象注入IOC容器
@Bean
public BCryptPasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
// 1.指定认证对象的来源(内存或者数据库),指定加密方式
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
}
//2. SpringSecurity配置相关信息
@Override
public void configure(HttpSecurity http) throws Exception {
// 释放静态资源,指定拦截规则,指定自定义的认证和退出页面,csrf配置等
http.authorizeRequests()
// 指定拦截规则
.antMatchers("/login.jsp", "failer.jsp", "/css/**", "/img/**", "/plugins/**").permitAll() //释放这些资源,不拦截
.antMatchers("/**").hasAnyRole("USER", "ADMIN") //所有资源都需要这些角色中的一个
.anyRequest().authenticated() //其他请求,必须认证通过之后才能访问
.and() // 表示新的一个配置开始
// 指定自定义的认证页面
.formLogin()
.loginPage("/login.jsp")
.loginProcessingUrl("/login")
.successForwardUrl("/index.jsp")
.failureForwardUrl("/failer.jsp")
.permitAll() // 释放这些资源,不拦截登录
.and()
// 指定自定义的退出页面
.logout()
.logoutSuccessUrl("/logout")
.invalidateHttpSession(true) // 清楚session
.logoutSuccessUrl("/login.jsp")
.permitAll()
//.and()
// 禁用csrf配置,默认开启的(一般不写,页面要加csrf),这里我们测试下
// .and()
// .csrf()
// .disable()
;
}
主要配置信息如下:
指定认证对象 SysUserService (UserDetailsService类型)
指定了用户密码使用的加密对象
SpringSecurity配置相关信息,比如:指定拦截规则,指定自定义的认证页面,csrf等。
2、前端整合
在 Spring Security 中,如果我们不做任何配置,默认的登录页面和登录接口的地址都是 /login,即默认会存在如下两个请求:
GET http://localhost:8080/login
POST http://localhost:8080/login
如果是 GET 请求表示你想访问登录页面,如果是 POST 请求,表示你想提交登录数据。默认的表单字段为 username和password。
SpringSecurity 默认 是开启 csrf防护机制。
所以,在自定义的表单上添加上 _csrf隐藏input(必须要写在form表单里面)。
引入 security标签库
<%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>
<security:csrfInput/>
启动项目,登录认证访问ok.
三、整合 Spring Security实现用户授权
认证过程获取用户信息时,我们已经把用户关联的角色信息设置到了 UserDetails中,所以,我们只需要分配 资源访问的角色就可以了。
1、后端
1.1 开启 Spring Security权限控制
Spring Security可以通过注解的方式来控制类或者方法的访问权限。支持开启权限控制的注解类型如下:
jsr250-annotations:表示支持 jsr250-api的注解
pre-post-annotations:表示支持 spring表达式注解
secured-annotations:这才是 Spring Security提供的注解
在实际开发中,用一类即可,三个都开启也没关系。
在 SpringSecurity配置类上 添加 @EnableGlobalMethodSecurity注解,表示开启 Spring Security权限控制,这里我们三类都开启了。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true, prePostEnabled = true, jsr250Enabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
...
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true, prePostEnabled = true, jsr250Enabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
...
1.2 在角色对应类或者方法上添加权限注解
1.2.1 使用 Spring Security注解
@Secured({“ROLE_ADMIN”,“ROLE_PRODUCT”})
@Controller
@RequestMapping("/user")
@Secured("ROLE_ADMIN") //表示当前类中所有方法需要 ROLE_ADMIN才能访问
public class UserController {
@Autowired
private UserService userService;
@RequestMapping("/findAll")
public String findAll(Model model){
List<SysUser> list = userService.findAll();
model.addAttribute("list", list);
return "user-list";
}
。。。
}
1.2.2 使用 Spring表达式注解
@PreAuthorize(“hasAnyRole(‘ROLE_ADMIN’,‘ROLE_PRODUCT’)”)
@Controller
@RequestMapping("/product")
public class ProductController {
@RequestMapping("/findAll")
//表示当前类中findAll方法需要 ROLE_ADMIN或者 ROLE_PRODUCT才能访问
@PreAuthorize("hasAnyRole('ROLE_ADMIN','ROLE_PRODUCT')")
public String findAll(){
return "product-list";
}
}
1.2.3 使用 JSR-250注解
@RolesAllowed({“ROLE_ADMIN”,“ROLE_User”})
@Controller
@RequestMapping("/order")
@RolesAllowed({"ROLE_ADMIN","ROLE_USER"}) //表示当前类中所有方法都需要ROLE_ADMIN或者ROLE_User才能访问
public class OrderController {
@RequestMapping("/findAll")
public String findAll(){
return "order-list";
}
}
2、前端
在jsp业页面中,对每个菜单资源通过 SpringSecurity标签库指定访问所需的角色。
<%@taglib uri="http://www.springframework.org/security/tags" prefix="security" %>
<!-- 指定访问所需角色 -->
<security:authorize access="hasAnyRole('ROLE_ADMIN', '等等')">
启动项目,通过不同的用户登录,授权访问ok.
来源:https://blog.csdn.net/qq_42402854/article/details/122290404
0
投稿猜你喜欢
- 国产框架thinkPHP,是一款MVC框架,这个框架最初模拟JAVA的struts框架,使用单一入口文件模拟JAVA的过滤器,使用actio
- 遇到问题nohup python flush.py &这样运行,生成了nohup.out文件,但是内容始终是空的,试了半天也不行。浪
- 背景在爬取网站数据时,我们通常会遇到一些动态渲染页面的网站。传统的静态网站我们可以直接通过 requests.get() 函数获取页面源代码
- 模块化分页1.查询语句块<% 取得当前文件名 temp = Split(request.ServerV
- 首先是最常规的方法:<p id="para" title="cssrain demo!" on
环境准备数据库版本:MySQL 5.7.20-log建表 SQLDROP TABLE IF EXISTS `t_ware_sale_stat- 此处收集的是一些夺人心魄的创意广告牌,巧妙的构思十分值得大家观瞻.......超人归来 superman returnsNespressos
- matplotlib简介如果你在大学里参加过数学建模竞赛或者是用过MATLAB的话,相比会对这一款软件中的画图功能印象深刻。MATLAB可以
- 很多时候, 我们预期查询的结果最多是1条记录数据, 那么这个时候, 最好用上limit 1, 当查到这条数据后, mysql会立
- 前言在网上找了很多Python处理Excel的方法和代码,都不是很尽人意,所以自己综合网上各位大佬的方法,自己进行了优化,具体的代码如下。博
- 一、Mysql事务概念MySQL 事务主要用于处理操作量大,复杂度高的数据。由一步或几步数据库操作序列组成逻辑执行单元,这系列操作要么全部执
- 前言之前工作中主要使用的是 Tensorflow 1.15 版本,但是渐渐跟不上工作中的项目需求了,而且因为 2.x 版本和 1.x 版本差
- 由于Internet的历史原因,apin负责整个网络IP的整体规划以及北美区
- 在平时的工作中,难免需要一些 小Tip 来解决工作中遇到的问题,今天的文章给大家安利一个方便快捷的小技巧,将 Office(doc/docx
- 前言ImageNet 是一个著名的公共图像数据库,用于训练对象分类、检测和分割等任务的模型,它包含超过 1400 万张图像。在 Python
- 下面的代码使用正则表达式验证输入格式包括了验证邮箱和验证手机号码package com.firewolf.utils;import java
- MNIST数据集介绍MNIST数据集中包含了各种各样的手写数字图片,数据集的官网是:http://yann.lecun.com/exdb/m
- 本文实例讲述了Python实现的合并两个有序数组算法。分享给大家供大家参考,具体如下:思路按位循环比较两个数组,较小元素的放入新数组,下标加
- 新闻系统、blog系统等都可能用到将动态页面生成静态页面的技巧来提高页面的访问速度,从而减轻服务器的压力,本文为大家搜集整理了ASP编程中常
- 如何显示随机信息?使用了asp的randomize来创造随机数,select case来显示自定义信息。具体代码如下:<html>
