Spring Security(三)自定义查询过程的解决方案

最新推荐文章于 2024-11-04 08:46:41 发布
原创 最新推荐文章于 2024-11-04 08:46:41 发布 · 386 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #java #mybatis #数据库 #分布式

本文详细介绍如何使用Spring Security结合MyBatis实现自定义查询的认证鉴权过程,包括项目结构、数据表创建、Maven依赖配置、自定义UserDetailsService实现、Mapper文件编写等关键步骤。

项目整体介绍

项目源码:https://github.com/xdouya/Spring-Security-demo/tree/master/03-mybatis-security
​Spring Security整合Mybaits自定义查询实现认证鉴权,项目结构:
在这里插入图片描述

项目构建

数据表创建以及用户数据导入
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `username` varchar(50) NOT NULL,
  `password` varchar(500) NOT NULL,
  `enabled` tinyint(1) NOT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB;

INSERT  IGNORE INTO `users` VALUES ('admin','{bcrypt}$2a$10$SAqQq0WEQYRA4etZpRa6e.Kew0sKKtC/ahFrSZXS1iHsy5EhZqLsa',1),('user','{bcrypt}$2a$10$SAqQq0WEQYRA4etZpRa6e.Kew0sKKtC/ahFrSZXS1iHsy5EhZqLsa',1),('vip','{bcrypt}$2a$10$SAqQq0WEQYRA4etZpRa6e.Kew0sKKtC/ahFrSZXS1iHsy5EhZqLsa',1);

DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) NOT NULL,
  UNIQUE KEY `ix_auth_username` (`username`,`authority`),
  CONSTRAINT `fk_authorities_users` FOREIGN KEY (`username`) REFERENCES `users` (`username`)
) ENGINE=InnoDB;

INSERT  IGNORE INTO `authorities` VALUES ('admin','ROLE_admin'),('user','ROLE_user'),('vip','ROLE_vip');

这里的这个users表和authorities表的字段没有强制要求,只要后续查询的时候能对应上就可以了;

Maven依赖
  • pom.xml
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-devtools</artifactId>
        <scope>runtime</scope>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>org.mybatis.spring.boot</groupId>
        <artifactId>mybatis-spring-boot-starter</artifactId>
        <version>1.3.2</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactId>
        <version>1.1.10</version>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
        <exclusions>
            <exclusion>
                <groupId>org.junit.vintage</groupId>
                <artifactId>junit-vintage-engine</artifactId>
            </exclusion>
        </exclusions>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>
项目构建
  • application.yml
spring:
  application:
    name: service-auth
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mybatis-security?useUnicode=true&characterEncoding=utf8&allowPublicKeyRetrieval=true&useSSL=false
    username: root
    password: 'xdy088114'
mybatis:
  mapper-locations: classpath:mapper/*.xml
  • SecurityConfig
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置拦截器保护请求
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/vip/**").hasRole("vip")
                .antMatchers("/user/**").hasRole("user")
                .anyRequest().authenticated()
                .and().formLogin()
                .and().httpBasic();
    }

    /**
     * 根据自动匹配密码编码器
     * @return PasswordEncoder
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}
  • MyUserDetailServiceImpl,通过实现UserDetailsService#loadUserByUsername方法自定用户信息查询
/**
 * 自定义UserDetailsService
 * @author caiwl
 * @date 2020/8/20 17:06
 */
@Service
public class MyUserDetailServiceImpl implements UserDetailsService {

    private UserDao userDao;

    @Autowired
    public MyUserDetailServiceImpl(UserDao userDao){
        this.userDao = userDao;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("整合mybatis 查询用户信息");
        return userDao.loadUserByUsername(username);
  • UserDao,用户数据访问接口
/**
 * @author caiwl
 * @date 2020/8/20 17:09
 */
public interface UserDao {
    /**
     * 根据用户名查询用户信息
     * @param username 用户名
     * @return 用户信息
     */
    UserPo loadUserByUsername(String username);
}
  • UserMapper.xml, mapper文件
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >

<mapper namespace="org.dy.security03.dao.UserDao">
	<resultMap type="org.dy.security03.entiy.UserPo" id="UserMap">
		<id column="username" property="username"/>
		<result column="password" property="password"/>	
		<collection property="authorities" ofType="org.dy.security03.entiy.RolePo">
			<id column="username" property="username"/>
			<result column="authority" property="authority"/>
		</collection>		
	</resultMap>

	<select id="loadUserByUsername" resultMap="UserMap">
		select 
			users.username, users.password, authorities.authority
		from 
			users left join authorities on users.username = authorities.username
		 where users.username=#{username}
	</select>
</mapper>
  • UserPo,用户信息
/**
 * @author caiwl
 * @date 2020/8/20 17:08
 */
@Data
public class UserPo implements UserDetails, Serializable {

    private static final long serialVersionUID = 1L;

    private String username;
    private String password;
    private List<RolePo> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
  • RolePo,角色信息
/**
 * @author caiwl
 * @date 2020/8/20 17:09
 */
@Data
public class RolePo implements GrantedAuthority {

    private static final long serialVersionUID = 1L;
    private String username;
    private String authority;

    @Override
    public String getAuthority() {
        return authority;
    }
}
  • HelloController,控制器接口
/**
 * @author caiwl
 * @date 2020/8/9 14:05
 */
@RestController
public class HelloController {

    @GetMapping("/")
    public String hello(){
        return "hello, welcome";
    }

    @GetMapping("/admin/hello")
    public String helloAdmin(){
        return "hello admin";
    }

    @GetMapping("/vip/hello")
    public String helloVip(){
        return "hello vip";
    }

    @GetMapping("/user/hello")
    public String helloUser(){
        return "hello user";
    }
}

项目测试

​ 使用不同账号(账号admin或者user或者vip, 密码088114)访问http://localhost:8080/admin/hello、http://localhost:8080/user/hello、http://localhost:8080/vip/hello 来查看给个角色访问时的授权情况;

思考

​ 基于数据库的认证鉴权方式,登录之后会产生一个session存储在内存之中,然后将sessionId返回给客户端,后续客户端请求资源时,会将sessionId携带上,那么服务端根据sessionId直接可以判断出用户的登录状态,如果用户登录过,则放行,如果没有登录,则会被拦截,跳转到登录页面重新登录,但这种将登录状态以及信息放在内存中的方式会带来两个问题:

  1. 由于session产生后放在服务器的内存之中,服务器因为某种原因(宕机或者更新)重启之后,则所有的session都会丢失,那么登录过的所有用户都需要重新登录;
  2. 分布式场景下,可能登录是在服务器A上,那么session保存在服务器A上,下一个请求,可能由服务器B处理,那么服务器B上没有这个session,就需要重新登录;

​ 下一节,Spring Security(四)Spring Security分布式认证鉴权解决方案 解决以上两个问题;

高级查询中的自定义查询方法(匹配查询,分页查询,排序查询等等查询方法)
Andre_dong的博客
11-16 686
高级查询 我们的这个查询方法有很多种,有bool查询,match查询,common查询等等,看我们要用哪种类型的查询查询结果: 以上就是基本查询方法,使用QueryBuilders方法完成各种查询方法 自定义查询方法 我们可以使用下面的这个方法查询它,并且规定查第几页,每页查多少条(page是你要查的页码是多少,size是每页查多少条数据,你输入这两个参数后,系统会自动把所有数据按每页2条排好,然后再让你去查你想要查的页码),withPageable是分页的意思,但是PageRequest.of
处理线上问题:自定义查询功能
张志文的博客
05-12 557
最近解决一个问题,关于自定义查询的功能。 背景: 2017年写的代码,很早了,具体的需求内容也不清楚,从操作上可以推测出需求内容: 用户点击新增自定义查询,弹窗一个框,里面是查询条件,选定好自定义查询条件并输入查询名称,保存,生成一个自定义按钮,绑定到用户,下次就可以直接点击该自定义查询按钮,直接查询,不需要手动输入不同的查询条件; 线上问题: 新增自定义查询按钮后,不能立即点击使用、不能立即删除,需要重新加载页面才能点击和删除,但是当自定义查询名称包含特殊字符后,依然无法删除。 分析问题: 测试环境复现
玩转SpringBoot安全管理:SpringSecurity之UserDetailService身份认证
Xmumu_的博客
08-03 3975
SpringSecurity身份认证之UserDetailsService
一二应用开发平台自定义查询设计与实现系列2——查询方案功能实现
学海无涯,行者无疆
10-28 1636
上面实现了自定义查询功能框架,从用户角度出发,有些条件组合可以形成特定的查询方案,对应着业务查询场景。诸多查询条件的组合,不能每次都让用户来设置,而是应该保存下来,下次可以直接使用或者在其基础上按需调整,也就是将查询方案持久化。
spring security查询自定义数据库验证登录
m0_61543848的博客
09-05 426
java小白一个,为了不让东拼西凑的塑料springboot知识遗忘,斗胆开始写博客,方便日后ctrl+c/v 首先引入security的pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 接着配.
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security 是一个强大的Java安全框架,它为Web应用程序提供了全面的安全解决方案。在Spring Security中,密码的加密是非常关键的一部分,因为这直接关系到用户数据的安全性。本示例将介绍如何在Spring ...
spring mvc 和spring security自定义登录
05-14
其次,Spring SecuritySpring生态中的安全模块,它提供了一套全面的安全解决方案,包括认证、授权、会话管理等。开发者可以通过配置或编程的方式,利用Spring Security保护Web应用程序的各个层面,防止未授权访问...
精选资源
spring security 自定义动态权限
09-10
Spring框架中,Spring Security是用于处理安全性的核心组件,它提供了全面的安全性解决方案。然而,在传统的Spring Security配置中,URL拦截规则以及权限通常是硬编码在安全配置文件中,这使得在运行时改变权限...
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案
Java大数据联盟
03-20 2556
Spring Security使用自定义的用户登录页面导致退出功能异常的原因分析与解决方案1 问题描述2 问题重现2.1 使用默认的用户登录页面,退出成功2.2 使用自定义的用户登录页面,退出失败3 原因分析3.1 对比两次请求3.2 分析执行原理3.3 分析结果总结4 解决方法4.1 使用POST请求/logout4.2 使用自定义的RequestMatcher4.3 改变默认的RequestM...
自定义Spring Security】实现多种认证方式
乐哥说的专栏
06-18 1696
自定义Spring Security】实现多种认证方式
Spring security 多端多用户实战、认证鉴权扩展深入
Hades_iphone的博客
07-25 3847
Spring security 多端多用户实战、认证鉴权扩展深入 前言从配置开始搭建从实战场景开始从基础的账号密码开始如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 当你阅读这篇文章的时候,我们假设你已经对Spring security有所了解,并且懂得如何初步使用。 前
Spring Security loadUserByUsername传递多个参数
愤怒的苹果ext的博客
08-16 5251
我们使用Spring Security做登录,一般来说都要实现接口,代码如下。}是的,方法仅有一个username参数,如果我们是做SaaS平台,多渠道登录,名称允许重复的话,这可怎么玩儿。下面提供2种方法。新建,其实是把代码抄下来,修改了和。把的details属性作为扩展参数传入新的方法。...
springSecurity2的自定义账号密码认证流程+多个参数自定义流程
m0_56356631的博客
04-24 4798
本文包含了,两个参数的登录校验+多个参数的登录校验
spring security()实现AuthenticationProvider接口@Autowired注入UserDetailsService值为空的情况
bxznll_wjsfc的博客
07-06 2496
spring security()实现AuthenticationProvider接口@Autowired注入UserDetailsService值为空的情况 实现自定义登录类是注入UserDetailsService接口获取不到的值的问题 第一种 在继承WebSecurityConfigurerAdapter配置类时通过这个方法使用构造器的形式直接注入 /** * 登录时执行这个方法 * @param auth * @throws Exception */
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 4233
loadUserByUsername携带多个参数
UserDetailsService详解
booker009的博客
03-16 1127
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:1.返回值返回值UserDetails是一个接口,定义如下要想返回UserDetails的实例就只能返回接口的实现类。Spring Security中提供了如下的实例。对于我们只需要使用里面的User类即可。
自定义综合查询实现
weixin_48460846的博客
06-17 2305
自定义综合查询实现 当前需求 需要自定义查询条件来查询特定数据,然后导出。之前为直接数据库查询导出,现需要做前端可视化界面,让用户可以自定义筛选条件进行数据查询。 例如:用户筛选年龄数据 有时候需要查18岁以上的,或者18岁以下的,或者一个区间内的,所以常规的传参查询可能需要多个参数来进行判定进行业务查询。 常规查询不具备灵活性,所以需要实现自定义的筛选查询条件。 设计参考 参考navicat的筛选思路,将一些筛选条件前端可视化,转换为模块(表名)、列名(字段名)、操作类型(逻辑连接符),后端进行
自定义查询模板,调起查询弹框
Cc_Rain
09-05 413
查询模板初始化 导入一个新的查询模板。将导入的模板 分配到对应的单据上。
一二应用开发平台自定义查询设计与实现系列3——通用化重构
最新发布
学海无涯,行者无疆
11-04 1042
前面我们以一个实体为目标对象,完成了功能开发与调试。 在此基础上,我们对功能进行重构,使其成为平台的标准化、通用化的功能。
Spring Boot集成Spring Security自定义登录页面教程
根据提供的文件信息,我们可以了解到,文件 "demo01.zip" 是一个与 Spring Boot 和 Spring Security 相关的压缩文件,其中包含了配置 Spring Security自定义登录页面的代码。下面将详细解释标题、描述和标签所...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值