Spring Security教程(6)---- 使用数据库管理用户及权限

最新推荐文章于 2024-11-27 19:57:51 发布
最新推荐文章于 2024-11-27 19:57:51 发布
阅读量578 收藏
点赞数
分类专栏: Spring Security系列
本文详细介绍了如何使用Spring框架实现数据库用户管理,并通过UserDetailsService接口自定义用户登录功能,包括用户信息获取、权限加载及数据库交互。通过实例演示了如何实现用户权限的存储与查询,确保用户登录后能正常访问对应权限的资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一章已经把表结构上传了,今天这部分主要用到的表是

  • SYS_USERS  用户管理表
  • SYS_ROLES  角色管理表
  • SYS_AUTHORITIES权限管理表
  • SYS_USERS_ROLES用户角色表
  • SYS_ROLES_AUTHORITIES角色权限表

要实现使用数据库管理用户,需要自定义用户登录功能,而Spring已经为我们提供了接口UserDetailsService

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. package org.springframework.security.core.userdetails;  
  2.   
  3. public interface UserDetailsService {  
  4.   
  5.     /** 
  6.      * Locates the user based on the username. In the actual implementation, the search may possibly be case 
  7.      * insensitive, or case insensitive depending on how the implementation instance is configured. In this case, the 
  8.      * <code>UserDetails</code> object that comes back may have a username that is of a different case than what was 
  9.      * actually requested.. 
  10.      * 
  11.      * @param username the username identifying the user whose data is required. 
  12.      * 
  13.      * @return a fully populated user record (never <code>null</code>) 
  14.      * 
  15.      * @throws UsernameNotFoundException if the user could not be found or the user has no GrantedAuthority 
  16.      */  
  17.     UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;  
  18. }  

UserDetailsService是一个接口,只有一个方法loadUserByUsername,根据方法名可以看出这个方法是根据用户名来获取用户信息,但是返回的是一个UserDetails对象。而UserDetails也是一个接口

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. package org.springframework.security.core.userdetails;  
  2.   
  3. import org.springframework.security.core.Authentication;  
  4. import org.springframework.security.core.GrantedAuthority;  
  5.   
  6. import java.io.Serializable;  
  7. import java.util.Collection;  
  8. //这里省略了Spring的注释,只是我自己对这些方法的简单的注释,如果想了解Spring对这些方法的注释,请查看Spring源码  
  9. public interface UserDetails extends Serializable {  
  10.       
  11.     Collection<? extends GrantedAuthority> getAuthorities(); //权限集合  
  12.      
  13.     String getPassword(); //密码  
  14.   
  15.     String getUsername(); //用户名  
  16.   
  17.     boolean isAccountNonExpired(); //账户没有过期  
  18.   
  19.     boolean isAccountNonLocked();  //账户没有被锁定  
  20.   
  21.     boolean isCredentialsNonExpired(); //证书没有过期  
  22.   
  23.     boolean isEnabled();//账户是否有效  
  24. }  

因此我们的SysUsers这个bean需要实现这个接口

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. @Entity  
  2. @DynamicUpdate(true)  
  3. @DynamicInsert(true)  
  4. @Table(name = "SYS_USERS"schema = "FYBJ")  
  5. public class SysUsers implements UserDetails,Serializable {  
  6.   
  7.     /**  
  8.      *   
  9.      */  
  10.     private static final long serialVersionUID = -6498309642739707784L;  
  11.       
  12.     // Fields  
  13.   
  14.     private String userId;  
  15.     private String username;  
  16.     private String name;  
  17.     private String password;  
  18.     private Date dtCreate;  
  19.     private Date lastLogin;  
  20.     private Date deadline;  
  21.     private String loginIp;  
  22.     private String VQzjgid;  
  23.     private String VQzjgmc;  
  24.     private String depId;  
  25.     private String depName;  
  26.     private boolean enabled;  
  27.     private boolean accountNonExpired;  
  28.     private boolean accountNonLocked;  
  29.     private boolean credentialsNonExpired;  
  30.     @JsonIgnore  
  31.     private Set<SysUsersRoles> sysUsersRoleses = new HashSet<SysUsersRoles>(0);  
  32.       
  33.     private Collection<GrantedAuthority>  authorities;  
  34.       
  35.     //.....省略setter,getter.....  
  36.     //如果属性是boolean(注:不是Boolean)类型的值,在生产getter时会变为isXxx,如enabled生产getter为isEnabled  
  37. }  
这样写我们的SysUsers只要生产getter和setter方法就实现了UserDetails,同时还可以使用数据库来控制这些属性,两全其美。

在UserDetails中有个属性需要注意下Collection<GrantedAuthority>  authorities,这个属性中存储了这个用户所有的权限。

下面需要先写下SysUsers的DAO层,一个方法是根据用户名获取用户,一个方法是根据用户名获取用户所有的权限,这里我用的是Spring Data Jpa,如果不懂这个请自行从网上查阅资料

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public interface SysUsersRepository extends JpaRepository<SysUsers, String> {  
  2.       
  3.     public SysUsers getByUsername(String username);  
  4.       
  5.     public Collection<GrantedAuthority> loadUserAuthorities(String username);  
  6.       
  7. }  
其中getByUsername符合Spring的命名规范,所以这个方法不需要我们来实现,而loadUserAuthorities则需要我们自己动手实现

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class SysUsersRepositoryImpl {  
  2.       
  3.     protected Log logger = LogFactory.getLog(getClass());  
  4.       
  5.     @PersistenceContext  
  6.     private EntityManager entityManager;  
  7.       
  8.     /** 
  9.      * 根据用户名获取到用户的权限并封装成GrantedAuthority集合 
  10.      * @param username 
  11.      */  
  12.     public Collection<GrantedAuthority> loadUserAuthorities(String username){  
  13.         List<SysAuthorities> list = this.getSysAuthoritiesByUsername(username);  
  14.           
  15.         List<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();  
  16.           
  17.         for (SysAuthorities authority : list) {  
  18.             GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(authority.getAuthorityMark());  
  19.             auths.add(grantedAuthority);  
  20.         }  
  21.   
  22.         return auths;  
  23.           
  24.     }  
  25.     /** 
  26.      * 先根据用户名获取到SysAuthorities集合 
  27.      * @param username 
  28.      * @return 
  29.      */  
  30.     @SuppressWarnings("unchecked")  
  31.     private List<SysAuthorities> getSysAuthoritiesByUsername(String username){  
  32.         String sql = "SELECT * FROM SYS_AUTHORITIES WHERE AUTHORITY_ID IN( "+  
  33.                 "SELECT DISTINCT AUTHORITY_ID FROM SYS_ROLES_AUTHORITIES  S1 "+  
  34.                 "JOIN SYS_USERS_ROLES S2 ON S1.ROLE_ID = S2.ROLE_ID "+  
  35.                 "JOIN SYS_USERS S3 ON S3.USER_ID = S2.USER_ID AND S3.USERNAME=?1)";  
  36.           
  37.         Query query = this.entityManager.createNativeQuery(sql, SysAuthorities.class);  
  38.         query.setParameter(1, username);  
  39.           
  40.         List<SysAuthorities> list = query.getResultList();  
  41.         return list;  
  42.     }  
  43. }  
不管是用Spring Data Jpa还是普通的方法只要实现这两个方法就可以了

最后也是最重要的一个类UserDetailsService

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class DefaultUserDetailsService implements UserDetailsService {  
  2.   
  3.     protected final Log logger = LogFactory.getLog(getClass());  
  4.       
  5.     @Autowired  
  6.     private SysUsersRepository sysUsersRepository;  
  7.       
  8.     @Autowired  
  9.     private MessageSource messageSource;  
  10.       
  11.     @Autowired  
  12.     private UserCache userCache;  
  13.       
  14.     @Override  
  15.     public UserDetails loadUserByUsername(String username)  
  16.             throws UsernameNotFoundException {  
  17.           
  18.         Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();  
  19.         SysUsers user = (SysUsers) this.userCache.getUserFromCache(username);  
  20.           
  21.         if(user == null){  
  22.             user = this.sysUsersRepository.getByUsername(username);  
  23.             if(user == null)  
  24.                 throw new UsernameNotFoundException(this.messageSource.getMessage(  
  25.                         "UserDetailsService.userNotFount"new Object[]{username}, null));  
  26.             //得到用户的权限  
  27.             auths = this.sysUsersRepository.loadUserAuthorities( username );  
  28.               
  29.             user.setAuthorities(auths);  
  30.         }  
  31.           
  32.         logger.info("*********************"+username+"***********************");  
  33.         logger.info(user.getAuthorities());  
  34.         logger.info("********************************************************");  
  35.           
  36.         this.userCache.putUserInCache(user);  
  37.           
  38.         return user;  
  39.     }  
  40.   
  41. }  

在loadUserByUsername方法中首先是从缓存中查找用户,如果找到用户就直接用缓存中的用户,如果没有找到就从数据库中获取用户信息。

从数据库中获取用户时先获取User对象,如果用户为空则抛出UsernameNotFoundException,其中UserDetailsService.userNotFount是在property文件中自定义的,如果获取到了user则再获取用户的权限,按照Spring的标准如果没有任何权限也是要抛出这个异常的,在这里我们就不做判断了。

登录后可以看到控制台打印出来以下信息

[plain]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. *********************admin***********************  
  2. [AUTH_PASSWORD_MODIFY, AUTH_GG_FBGBGG, AUTH_GG_FBZNGG]  
  3. ********************************************************  
说明我们登录成功并且已经获取到了权限,但是可能会出现如下页面


这样就是你在数据库中存储的权限跟配置文件中的不对应,或者说访问资源是没有从用户的权限集合中找到这个权限。

Spring Security从入门到进阶】(六)基于数据库的 RBAC
Eddie'Blog
10-21 240
文章目录目录2.6.1 授权的概念和安全达式的应用2.6.1.1 授权 - Authorization2.6.1.2 安全达式2.6.1.3 复杂达式应用2.6.1.4 在达式中引用 Bean2.6.1.5 简易例子规则:ADMIN 和 USER 权限都能访问 /api/users/** 路径UserControllerSecurityConfigSecuredRestAPIIntTests 单元测试规则:只有当前认证用户,才能访问自己的路径,除非是管理SecurityConfigSecured
循序渐进学spring security第六篇,手把手教你如何从数据库读取用户进行登录验证,mybatis集成
huangxuanheng的专栏
07-26 1062
文章目录回顾如何从数据库读取用户数据进行认证?创建项目创建工程 :security-mybatis创建实体类:User,实现接口UserDetails创建mapper创建UserDetailsServiceImpl类,实现接口UserDetailsService配置spring security 关联数据库别忘了配置数据源测试效果 回顾 前面通过《循序渐进学习spring security 第二篇,如何修改默认用户?》介绍了如何通过配置修改用户名和密码,循序渐进的从配置文件配置默认用户到从代码中通过内存
spring security起步六:基于数据库用户认证
小鱼儿的专栏
07-19 5891
在前面的例子中,我们的用户都是存放在内存中,现在就来实现spring security基于数据库用户认证功能。配置数据源dataSource首先,这里使用数据库连接池为druid,数据库为mysql,所以pom.xml需引入相应的jar包<dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactI
六、SpringSecurity Web权限方案(2)—— 基于数据库实现权限认证
付之一笑的专栏
01-17 773
一、 基于数据库实现权限认证 1.1、项目结构 1.2、添加实体类 package com.xbmu.entity; import lombok.Data; @Data public class Users { private Integer id; private String username; private String password; } package com.xbmu.entity; import lombok.Data; @Data public class
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
SpringSecurity-数据库认证-简单授权
06-03
数据库认证方面,SpringSecurity可以通过JDBC或内存中存储用户信息,但通常我们选择前者,因为数据库可以提供更安全和灵活的用户管理。你需要配置一个`UserDetailsService`接口的实现,该接口用于从数据库查询用户...
spring security的学习-3. 自定义数据库结构.doc
06-03
综上所述,自定义Spring Security数据库结构和用户权限信息是实现企业级权限管理的关键步骤。通过理解并适应现有的数据库模型,我们可以有效地集成Spring Security,使其适应企业的具体需求,实现安全、灵活的...
SpringBoot3】Spring Security使用mybatis-plus存储用户角色权限,实现动态权限处理
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 1168
一、使用mybatis-plus存储用户角色权限 1)创建相关数据库 2)从数据库读取用户角色权限数据 3)登录成功返回token 4)访问相关资源时,通过自定义的过滤器解析token,判断权限 动态权限可以通过创建自定义类(如 `MyAuthorizationManager`)实现接口 `AuthorizationManager`,在实现类的 `check()` 方法中判断用户是否有请求资源的权限
Spring-Security权限sql角色与菜单的数据库信息
11-09
Spring-Security权限sql角色与菜单的数据库信息
springboot+jpa+security用户权限
11-04
springboot+jpa+mysql+security用户权限管理代码 。
SpringSecurity基于数据库认证和授权
weixin_58238974的博客
01-11 433
下文主要是认证: 1.导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.数据库等各种配置信息。。。。。 3.创建实体类,实现UserDetails接口 实现UserDetails接口的实体类会被认为
Spring——Security安全框架基于数据库实现认证
专注写bug
02-22 1053
文章目录前言本篇博客亮点环境配置创建新的modual依赖引用创建数据库数据库,并添加信息配置数据库连接创建User类创建UserMapper接口创建security的配置类创建UserDetailsService的子实现类,重写loadUserByUsername编写测试接口接口访问测试注意代码下载 前言 上一篇博客Security安全框架使用详解(基于内存实习认证)中,大致介绍了Security的基本理论,以及采取基于内存的方式大致进行了认证校验测试。 本篇博客亮点 本篇博客采取mysql数据库,进行
Spring Security怎么从数据库加载我们的用户?
m0_71777195的博客
01-03 179
记住怎么自定义, 注意自定义的User需要实现哪些接口, 还有脱敏问题。
SpringSecurity学习笔记2_基于数据库管理用户
m0_61572518的博客
03-27 1156
一、UserDetails接口介绍 SpringSecurity通过UserDetail对象来管理用户 UserDetail有一个实现类User,我们需要将数据库中得到的用户信息包装成User类的实例,然后才能让SpringSecurity管理用户的认证鉴权。 二、引入Maven依赖 <dependencies> <!--SpringSecurity启动依赖--> <dependency> <g
spring security入门--数据库读取数据实现用户登录访问简单示例四
浅时光|初如梦
09-15 2458
1.说明 之前的几个示例都是从内存中获取的数据,这里改写为从数据库获取数据实现用户登录访问功能 从内存读取数据的代码可参看 地址:https://blog.youkuaiyun.com/qq_32224047/article/details/108604598 2.代码示例 数据库语句 CREATE DATABASE /*!32312 IF NOT EXISTS*/`security` /*!40100 DEFAULT CHARACTER SET utf8 */; USE `security`;
Spring Security教程
qq_28248897的博客
08-31 4388
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
Spring Security最简单全面教程(带Demo)
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 4692
一、Spring Security简介 Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。 Spring Security主要是从两个方面解决安全性问题: web请求级别:使用Servlet规范中的过滤器(Filter)保护Web请求并限制URL级别的访问。 方法调用级别:使
Spring Security 最佳实践,看了必懂(保姆级教程!!!)
最新发布
小斜同学的博客
11-27 2960
Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。
Spring Security配置示例教程 - MySQL数据库集成
Spring Security中,MySQL数据库常用于存储用户信息、角色权限信息等安全数据。 4. **例子说明**:标题提到的“例子”,说明这是一个具体的应用实例,适合用来学习和理解如何在实际项目中应用Spring Security以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值