SpringSecurity使用数据库登录认证授权

作者：Bd专业8楼nv | 来源：互联网 | 2023-08-16 08:56

SpringSecurity使用数据库登录认证授权-一、搭建项目环境1、创建RBAC五张表RBAC，即基于角色的权限访问控制（Role-BasedAccessControl），

一、搭建项目环境

1、创建 RBAC五张表

RBAC，即基于角色的权限访问控制（Role-Based Access Control），就是用户通过角色与权限进行关联。
在这种模型中，用户与角色之间，角色与权限之间，一般者是多对多的关系。

在 MySQL数据库中，创建如下几个表：


DROP TABLE IF EXISTS sys_user;
CREATE TABLE sys_user(
    id BIGINT NOT NULL AUTO_INCREMENT  COMMENT '主键id' ,
    username VARCHAR(60)    COMMENT '用户名' ,
    password VARCHAR(255)    COMMENT '密码' ,
    status tinyint(1)    COMMENT '用户状态，1-开启-0禁用' ,
    password_non_expired tinyint(1)    COMMENT '密码是否失效，1-可用，0-失效' ,
    PRIMARY KEY (id)
)  COMMENT = '用户表';

DROP TABLE IF EXISTS sys_role;
CREATE TABLE sys_role(
    id BIGINT NOT NULL AUTO_INCREMENT  COMMENT '主键id' ,
    role_name VARCHAR(64) NOT NULL   COMMENT '角色名' ,
    role_desc VARCHAR(64) NOT NULL   COMMENT '角色描述' ,
    PRIMARY KEY (id)
)  COMMENT = '角色表';

DROP TABLE IF EXISTS sys_permission;
CREATE TABLE sys_permission(
    id BIGINT NOT NULL AUTO_INCREMENT  COMMENT '主键id' ,
    parent_id BIGINT    COMMENT '父id' ,
    permission_name VARCHAR(64)    COMMENT '菜单名称' ,
    permission_url VARCHAR(255)    COMMENT '菜单地址' ,
    PRIMARY KEY (id)
)  COMMENT = '权限表';

DROP TABLE IF EXISTS sys_user_role;
CREATE TABLE sys_user_role(
    id BIGINT NOT NULL AUTO_INCREMENT  COMMENT '主键id' ,
    user_id BIGINT NOT NULL   COMMENT '用户id' ,
    role_id BIGINT    COMMENT '角色id' ,
    enabled tinyint(1)   DEFAULT 1 COMMENT '是否有效' ,
    PRIMARY KEY (id)
)  COMMENT = '用户角色关联表';

DROP TABLE IF EXISTS sys_role_permission;
CREATE TABLE sys_role_permission(
    id BIGINT NOT NULL AUTO_INCREMENT  COMMENT '主键id' ,
    role_id BIGINT NOT NULL   COMMENT '角色id' ,
    permission_id BIGINT    COMMENT '权限id' ,
    PRIMARY KEY (id)
)  COMMENT = '角色权限表';

2、创建项目

创建 Mavne 项目，Springboot + Spring Security + MyBatis + MySQL + jsp。

1）配置文件如下

server:
  port: 9090

# jsp配置
spring:
  mvc:
    view:
      prefix: /pages/
      suffix: .jsp
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/security_authority?useUnicode=true;characterEncoding=utf8;useSSL=true;serverTimezOne=GMT
    username: root
    password: 123456

# mybatis配置
mybatis:
  configuration:
    map-underscore-to-camel-case: true
  mapper-locations: classpath:mybatis/mapper/*.xml

logging:
  level:
    com.charge.learn.springsecurity.springboot.security.jsp.dao: debug

2）启动类

@SpringBootApplication
@MapperScan("com.charge.learn.springsecurity.springboot.security.jsp.dao")
public class SpringSecurityApplication {
    public static void main(String[] args) {
        SpringApplication.run(SpringSecurityApplication.class, args);
    }
}

二、整合 Spring Security实现用户认证

1、后端整合

1.1 用户

Spring Security的用户对象是 UserDetail类型，Spring Security在认证流程中只认 UserDetail用户。

通过 UserDetailsService的 loadUserByUsername方法获取 UserDetail用户。
认证成功之后，调用的是这个带有三个参数的 UsernamePasswordAuthenticationToken构造方法，将角色信息添加到了ArrayList集合中。
在 successfulAuthentication 方法中，将认证信息存储到了SecurityContext中。

UserDetail接口的方法（根据用户业务来处理这几个值）。

boolean enabled 账户是否可用
boolean accountNonExpired 账户是否失效
boolean credentialsNonExpired 账户密码是否失效
boolean accountNonLocked 账户是否锁定
Collection getAuthorities() 获取账户的所有权限（用户角色）

注意：四个布尔类型的参数都为 true时，然后成功，否则，有一个为 false，就会认证失败。

所以，我们可以将我们的用户封装成 UserDetail对象。
这里我们让用户对象实现 UserDetail接口，那么我们用户就属于 UserDetail类型的用户，然后实现接口的方法。

public class SysUser implements UserDetails {

    private Long id;
    private String username;
    private String password;
    private Boolean status; //用户状态，1-开启-0禁用
    private Boolean passwordNonExpired; //密码是否失效，1-可用，0-失效
    /**
     * 用户关联的所有角色
     */
    private List<SysRole> roles = new ArrayList<>();

//get、set方法

    //标记该字段不做json处理
    @JsonIgnore
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return roles;
    }

    @JsonIgnore
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @JsonIgnore
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @JsonIgnore
    @Override
    public boolean isCredentialsNonExpired() {
        return passwordNonExpired == null ? false : passwordNonExpired;
    }

    @JsonIgnore
    @Override
    public boolean isEnabled() {
        return status == null ? false : status;
    }

}

1.2 角色

Spring Security的权限对象是 GrantedAuthority类型。通过它的值来实现权限管理的。

所以，我们让角色对象实现GrantedAuthority接口，那么我们角色就属于 GrantedAuthority类型，然后实现接口的方法。
上面用户可以直接将角色添加到 Collection集合中。

public class SysRole implements GrantedAuthority {

    private Long id;
    private String roleName;
    private String roleDesc;

//get、set方法

    //标记该字段不做json处理
    @JsonIgnore
    @Override
    public String getAuthority() {
        return roleName;
    }

}

1.3 SysUserService接受继承UserDetailsService类

Spring Security在认证流程中通过 UserDetailsService的 loadUserByUsername方法获取 UserDetail用户。

所以，我们让 UserService接口继承 UserDetailsService类，然后重写 loadUserByUsername方法。

在 loadUserByUsername方法中，获取我们的用户信息（ UserDetail类型），记得将用户关联的角色也赋值为用户信息。

public interface SysUserService extends UserDetailsService {

    void save(SysUser user);
}

@Service
@Transactional
public class SysUserServiceImpl implements SysUserService {

	@Autowired
	private SysUserMapper sysUserMapper;

	@Autowired
	private SysRoleMapper sysRoleMapper;

	@Autowired
	private BCryptPasswordEncoder passwordEncoder;

	@Override
	public void save(SysUser sysUser) {
		// 将密码加密入库
		sysUser.setPassword(passwordEncoder.encode(sysUser.getPassword()));
		sysUserMapper.insert(sysUser);
	}

	/**
	 * 认证业务
	 *
	 * @param username
	 *            - 用户在浏览器输入的用户名
	 * @return UserDetails - Spring Security的用户对象，返回 null表示认证失败！
	 * @throws UsernameNotFoundException
	 */
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		/**
		 * 用户信息和角色信息可以一步关联查询到位得到SysUser，我这里分开查询
		 */
		// 1.查询用户
		SysUser sysUser = sysUserMapper.getByUsername(username);
		if (sysUser == null) {
			return null;
		}
		// 2.获取用户关联的所有角色
		List<SysRole> sysRoles = sysRoleMapper.listAllByUserId(sysUser.getId());
		sysUser.setRoles(sysRoles);
		System.out.println("====> sysUser=" + sysUser.toString());
		return sysUser;
	}
}

mapper.xml中的几个方法

  <select id="getByUsername" resultMap="BaseResultMap">
    select id, username, password, status, password_non_expired from sys_user where username = #{username}
  select>

  <select id="listAllByUserId" resultMap="BaseResultMap">
    SELECT r.id, r.role_name role_name, r.role_desc role_desc
    FROM sys_role r, sys_user_role ur
    WHERE r.id = ur.role_id AND ur.user_id = #{userId}
  select>

1.4 创建 SpringSecurity配置类

自定义一个配置类，添加@EnableWebSecurity注解，并继承WebSecurityConfigurerAdapter类。然后就拥有了 SpringSecutiry的所有默认配置。我们也可以修改配置。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SysUserService userService;

    // 加密对象注入IOC容器
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    // 1.指定认证对象的来源(内存或者数据库),指定加密方式
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }

    //2. SpringSecurity配置相关信息
    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 释放静态资源，指定拦截规则，指定自定义的认证和退出页面，csrf配置等
        http.authorizeRequests()
                // 指定拦截规则
                .antMatchers("/login.jsp", "failer.jsp", "/css/**", "/img/**", "/plugins/**").permitAll()  //释放这些资源，不拦截
                .antMatchers("/**").hasAnyRole("USER", "ADMIN") //所有资源都需要这些角色中的一个
                .anyRequest().authenticated()  //其他请求，必须认证通过之后才能访问
                .and()  // 表示新的一个配置开始
                // 指定自定义的认证页面
                .formLogin()
                .loginPage("/login.jsp")
                .loginProcessingUrl("/login")
                .successForwardUrl("/index.jsp")
                .failureForwardUrl("/failer.jsp")
                .permitAll() // 释放这些资源，不拦截登录
                .and()
                // 指定自定义的退出页面
                .logout()
                .logoutSuccessUrl("/logout")
                .invalidateHttpSession(true) // 清楚session
                .logoutSuccessUrl("/login.jsp")
                .permitAll()
                //.and()
//                禁用csrf配置，默认开启的（一般不写，页面要加csrf），这里我们测试下
//                .and()
//                .csrf()
//                .disable()
                ;
    }

主要配置信息如下：

指定认证对象 SysUserService （UserDetailsService类型）
指定了用户密码使用的加密对象
SpringSecurity配置相关信息，比如：指定拦截规则，指定自定义的认证页面，csrf等。

2、前端整合

在 Spring Security 中，如果我们不做任何配置，默认的登录页面和登录接口的地址都是 /login，即默认会存在如下两个请求：

GET http://localhost:8080/login
POST http://localhost:8080/login
如果是 GET 请求表示你想访问登录页面，如果是 POST 请求，表示你想提交登录数据。默认的表单字段为 username和password。

SpringSecurity 默认是开启 csrf防护机制。
所以，在自定义的表单上添加上 _csrf隐藏input（必须要写在form表单里面）。

引入 security标签库
<%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>
<security:csrfInput/>

启动项目，登录认证访问ok.

三、整合 Spring Security实现用户授权

认证过程获取用户信息时，我们已经把用户关联的角色信息设置到了 UserDetails中，所以，我们只需要分配资源访问的角色就可以了。

1、后端

1.1 开启 Spring Security权限控制

Spring Security可以通过注解的方式来控制类或者方法的访问权限。支持开启权限控制的注解类型如下：

jsr250-annotations：表示支持 jsr250-api的注解，
pre-post-annotations：表示支持 spring表达式注解
secured-annotations：这才是 Spring Security提供的注解

在实际开发中，用一类即可，三个都开启也没关系。
在 SpringSecurity配置类上添加 @EnableGlobalMethodSecurity注解，表示开启 Spring Security权限控制，这里我们三类都开启了。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true, prePostEnabled = true, jsr250Enabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ... 同上
}

1.2 在角色对应类或者方法上添加权限注解

1.2.1 使用 Spring Security注解

@Secured({“ROLE_ADMIN”,“ROLE_PRODUCT”})

@Controller
@RequestMapping("/user")
@Secured("ROLE_ADMIN") 	//表示当前类中所有方法需要 ROLE_ADMIN才能访问
public class UserController {

    @Autowired
    private UserService userService;

    @RequestMapping("/findAll")
    public String findAll(Model model){
        List<SysUser> list = userService.findAll();
        model.addAttribute("list", list);
        return "user-list";
    }
    。。。
 }

1.2.2 使用 Spring表达式注解

@PreAuthorize(“hasAnyRole(‘ROLE_ADMIN’,‘ROLE_PRODUCT’)”)

@Controller
@RequestMapping("/product")
public class ProductController {
    
    @RequestMapping("/findAll")
    //表示当前类中findAll方法需要 ROLE_ADMIN或者 ROLE_PRODUCT才能访问
    @PreAuthorize("hasAnyRole('ROLE_ADMIN','ROLE_PRODUCT')") 
    public String findAll(){
        return "product-list";
    }
}

1.2.3 使用 JSR-250注解

@RolesAllowed({“ROLE_ADMIN”,“ROLE_User”})

@Controller
@RequestMapping("/order")
@RolesAllowed({"ROLE_ADMIN","ROLE_USER"}) //表示当前类中所有方法都需要ROLE_ADMIN或者ROLE_User才能访问
public class OrderController {
    
    @RequestMapping("/findAll")
    public String findAll(){
        return "order-list";
    }
}

2、前端

在jsp业页面中，对每个菜单资源通过 SpringSecurity标签库指定访问所需的角色。

<%@taglib uri="http://www.springframework.org/security/tags" prefix="security" %>

<security:authorize access="hasAnyRole('ROLE_ADMIN', '等等')">

启动项目，通过不同的用户登录，授权访问ok.

– 求知若饥，虚心若愚。

推荐阅读

java
自动轮播，反转播放的ViewPagerAdapter的使用方法和效果展示

本文介绍了如何使用自动轮播、反转播放的ViewPagerAdapter，并展示了其效果。该ViewPagerAdapter支持无限循环、触摸暂停、切换缩放等功能。同时提供了使用GIF.gif的示例和github地址。通过LoopFragmentPagerAdapter类的getActualCount、getActualItem和getActualPagerTitle方法可以实现自定义的循环效果和标题展示。 ... [详细]

蜡笔小新 2023-12-13 14:41:31
default
SpringBoot uri统一权限管理的实现方法及步骤详解

本文详细介绍了SpringBoot中实现uri统一权限管理的方法，包括表结构定义、自动统计URI并自动删除脏数据、程序启动加载等步骤。通过该方法可以提高系统的安全性，实现对系统任意接口的权限拦截验证。 ... [详细]

蜡笔小新 2023-12-14 16:11:30
include
如何自行分析定位SAP BSP错误

The“BSPtag”Imentionedintheblogtitlemeansforexamplethetagchtmlb:configCelleratorbelowwhichi ... [详细]

蜡笔小新 2023-12-14 19:58:05
java
Java太阳系小游戏分析和源码详解

本文介绍了一个基于Java的太阳系小游戏的分析和源码详解。通过对面向对象的知识的学习和实践，作者实现了太阳系各行星绕太阳转的效果。文章详细介绍了游戏的设计思路和源码结构，包括工具类、常量、图片加载、面板等。通过这个小游戏的制作，读者可以巩固和应用所学的知识，如类的继承、方法的重载与重写、多态和封装等。 ... [详细]

蜡笔小新 2023-12-14 19:53:34
java
VScode格式化文档换行或不换行的设置方法

本文介绍了在VScode中设置格式化文档换行或不换行的方法，包括使用插件和修改settings.json文件的内容。详细步骤为：找到settings.json文件，将其中的代码替换为指定的代码。 ... [详细]

蜡笔小新 2023-12-14 17:15:38
ip
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
java
Nginx使用（server参数配置）

本文介绍了Nginx的使用，重点讲解了server参数配置，包括端口号、主机名、根目录等内容。同时，还介绍了Nginx的反向代理功能。 ... [详细]

蜡笔小新 2023-12-14 17:08:34
default
eclipse学习（第三章：ssh中的Hibernate）——11.Hibernate的缓存（2级缓存，get和load）

本文介绍了eclipse学习中的第三章内容，主要讲解了ssh中的Hibernate的缓存，包括2级缓存和get方法、load方法的区别。文章还涉及了项目实践和相关知识点的讲解。 ... [详细]

蜡笔小新 2023-12-14 00:31:35
ip
拥抱Android Design Support Library新变化（导航视图、悬浮ActionBar）

转载请注明明桑AndroidAndroid5.0Loollipop作为Android最重要的版本之一，为我们带来了全新的界面风格和设计语言。看起来很受欢迎࿰ ... [详细]

蜡笔小新 2023-12-13 16:11:00
ip
【openwrt】设备mt7628关于wan侧eth0.1 mac地址固定的问题

本文讨论了在openwrt-17.01版本中，mt7628设备上初始化启动时eth0的mac地址总是随机生成的问题。每次随机生成的eth0的mac地址都会写到/sys/class/net/eth0/address目录下，而openwrt-17.01原版的SDK会根据随机生成的eth0的mac地址再生成eth0.1、eth0.2等，生成后的mac地址会保存在/etc/config/network下。 ... [详细]

蜡笔小新 2023-12-12 17:47:48
include
深入浅出Linux设备驱动编程的重要性与方法

本文介绍了深入浅出Linux设备驱动编程的重要性，以及两种加载和删除Linux内核模块的方法。通过一个内核模块的例子，展示了模块的编译和加载过程，并讨论了模块对内核大小的控制。深入理解Linux设备驱动编程对于开发者来说非常重要。 ... [详细]

蜡笔小新 2023-12-12 15:28:09
main
MVP架构模式及其在国庆技术博客中的应用

本文介绍了MVP架构模式及其在国庆技术博客中的应用。MVP架构模式是一种演变自MVC架构的新模式，其中View和Model之间的通信通过Presenter进行。相比MVC架构，MVP架构将交互逻辑放在Presenter内部，而View直接从Model中读取数据而不是通过Controller。本文还探讨了MVP架构在国庆技术博客中的具体应用。 ... [详细]

蜡笔小新 2023-12-11 11:57:58
java
解决java开源项目apache commons email简单使用报错的方法

本文介绍了解决java开源项目apache commons email简单使用报错的方法，包括使用正确的JAR包和正确的代码配置，以及相关参数的设置。详细介绍了如何使用apache commons email发送邮件。 ... [详细]

蜡笔小新 2023-12-09 17:35:16
java
初识java关于JDK、JRE、JVM 了解一下

初识java关于JDK、JRE、JVM 了解一下 ... [详细]

蜡笔小新 2023-10-17 17:17:17
java
树莓派小车3——安卓客户端

项目地址https:github.comffmydreamWiCar界面做的很难看，美工方面实在不在行。重点是按钮触摸事件的处理，这里搬了RepeatListener项目代码，例 ... [详细]

蜡笔小新 2023-10-17 15:08:33

Bd专业8楼nv

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章