Spring Security实现动态权限设置(一)——基于数据库登录

最新推荐文章于 2025-03-19 21:49:03 发布
原创 最新推荐文章于 2025-03-19 21:49:03 发布 · 1.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot #mybatis

本文详细介绍了使用SpringSecurity实现基于数据库的用户登录过程,包括常见问题解决、实体类设计、服务实现、MyBatis集成及SpringSecurity配置。通过具体代码示例,帮助读者理解并实践数据库登录的完整流程。

在这一部分先介绍Spring Security基于数据库登录,因为动态权限设置也是要基于数据库的,而且也要在基于数据库登录上实现。

在介绍实现数据库登录之前,先摆出笔者在这里踩过两个坑:
①踩坑:控制台报错There is no PasswordEncoder mapped for the id "null"并且输入登录之后不会返回任何登录相关信息,而是再次跳回登录界面;
原因:Spring Security配置类没有加@Configuration注解;
网上关于Spring Security 5.0版本之后,如果基于数据库认证需要在config方法中加载用户路径时的写法:(网上说法:保证用户登录时使用bcrypt对密码进行处理再与数据库中的密码比对)
下面展示一些 config配置类中的写法:

//注入userDetailsService的实现类
auth.userDetailsService(userService).passwordEncoder(new BCryptPasswordEncoder());

笔者Spring Security 5.2.2环境下试过后面.passwordEncoder(new BCryptPasswordEncoder())其实加不加都可以运行通过;

②最好是角色表role的name必须以“ROLE_”开头,例如:“ROLE_admin”可以避免后续很多坑;之前学习时,对数据库role表没有以“ROLE_”开头,是因为可以在User实体类中的getAuthorities方法中将“ROLE_”前缀写在代码中,但这次由于动态权限需要查询role表,没办法在代码中加“ROLE_”前缀,会出一些bug;

下面开始正文部分,本次项所需依赖:MyBatis、MySqlDriver、以及Spring Security和Spring Web。
设计数据库
基于数据库登录只需要user、role、user_role三张表,这里准备了五张表是为了后面动态权限设置所需。
user表在这里插入图片描述其中的password字段是密码为123的明文由BCryptPasswordEncoder加密过后的密文,BCryptPasswordEncoder加密相同的密码会得到不同的密文,这里笔者偷懒,三个密文是一样的,但并不妨碍登录。实际项目不可这样。
role表 在这里插入图片描述
menu表,路径表
在这里插入图片描述

user_role表,根据uid(用户id)可以查到对应的rid(角色id),根据rid可以在role表中查到角色;
在这里插入图片描述
role_menu表,根据mid(路径id)可以查到对应的rid(角色id)根据rid可以在role表中查到路径所需的角色;
在这里插入图片描述
编写实体类
编写Role、User连个实体类,Role实体类的写法与普通实体类写法无异,需要注意的是实体类中的成员变量要和数据库中的字段名一一对应,并必须有get、set方法。User实体类需要实现UserDetail接口,并实现接口中的方法。这里主要介绍User实体类的写法:

public class User implements UserDetails {
    private int id;
    private String username;
    private String password;
    private boolean enabled;
    private boolean locked;
    private List<Role> roles;

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }

    public void setLocked(Boolean locked) {
        this.locked = locked;
    }

    @Override
    //获取当前用户角色
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role:roles
             ) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    //账户是否未过期,直接返回true表示账户未过期,也可以在数据库中添加该字段
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    //账户是否为被锁,这里和数据库中的locked字段刚好反义,所以取反
    public boolean isAccountNonLocked() {
        return !this.locked;
    }

    @Override
    //密码是否为过期,数据库中无该字段,直接返回true
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    //账户是否可用,从数据库中获取该字段
    public boolean isEnabled() {
        return this.enabled;
    }
}

UserService实现用户登录
UserService类实现用户基于数据库登录,需实现UserDetailService接口,并实现接口中的方法,由于使用MyBatis整合数据库,所以后面需要编写Mapper类实现Service中需要的方法,供Service调用:

@Service
public class UserService implements UserDetailsService {
    @Autowired
    UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(username);
        if(user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        user.setRoles(userMapper.getUserRolesById(user.getId()));
        return user;
    }
}

Mapper接口和XML编写
Mapper接口和XML这一套就是MyBatis里的,负责和数据库打交道,编写SQL根据需求操作数据库。这里只用实现Service中需要的方法。在UserMapper接口写入需要实现的方法并XML中实现Service中需要的loadUserByUsernamegetUserRolesById两个方法,XML:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.yc.security_dynamic.mapper.UserMapper">
    <select id="loadUserByUsername" resultType="org.yc.security_dynamic.bean.User">
        select * from user where username=#{username}
    </select>
    <select id="getUserRolesById" resultType="org.yc.security_dynamic.bean.Role">
        select * from role where id in (select rid from user_role where uid=#{id})
    </select>
</mapper>

getUserRolesById方法获取用户角色需要先在user_role表中根据用户id查出rid,然后在role表中根据rid查出角色,上面使用了一个嵌套查询;
Spring Security配置类
编写Spring Security配置类继承自WebSecurityConfigurerAdapter,在config方法中由UserService加载用户信息,并提供密码编码类BCryptPasswordEncoder

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserService userService;
  
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }
}

Controller类
最后,编写controller类,测试基于数据库登录。

@RestController
public class HelloController {
   @GetMapping("/hello")
    public String hello(){
        return "hello security!";
    }
}

到这里就实现了Spring Security基于数据库的登录;在浏览器端访问localhost:8080/hello接口就会自动跳转到Spring Security的默认登陆页面:
在这里插入图片描述
输入user表中任意用户及密码就能访问到/hello接口。这里所有用户都能访问/hello接口,因为没有配置权限。

到这里,一个简单的Spring Security基于数据库登陆就完成了,下期在这基础之上介绍动态权限设置。

SpringBoot开发——SpringBoot3整合SpringSecurity6实现基于数据库的用户认证
bjzhang75的博客
05-12 1411
SpringBoot开发——SpringBoot3整合SpringSecurity6实现基于数据库的用户认证
Spring Security——基于数据库的用户信息认证
qq_40151840的博客
03-02 799
Spring Security——基于数据库的用户信息认证 、前言 上篇文章里提到,可以通过 application.properties 配置文件和java配置(继承 WebSecurityConfigurerAdapter类)来进行用户信息的配置。其中在java配置里,我们是把用户信息写到了内存里,并没有将其持久化到数据库中,今天我们就来看下在 Spring Security 中,如何基于...
Spring Security 基于数据库权限管理配置
11-21
Spring Security 基于数据库权限管理配置
Spring Security——基于数据库动态权限配置
qq_40151840的博客
03-03 1468
Spring Security——基于数据库动态权限配置 、前言 在上篇博客里,实现了基于数据库的用户信息认证,但是并没有实现动态权限配置,即每个角色能访问哪些资源路径,属于硬编码,是在代码中写死的,无法做到动态修改。在本篇会讲述如何在SpringSecurity中做到基于数据库动态权限配置。 二、数据库建表 在已经实现了基于数据库的用户信息验证下,即已经创建了user表、role表、u...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
主要介绍了SpringSecurity动态加载用户角色权限实现登录及鉴权功能,很多朋友感觉这个功能很难,今天小编通过实例代码给大家讲解,需要的朋友可以参考下
SpringSecurity动态配置权限
qq_42422613的博客
02-21 873
本文为博主学习笔记 首先写以下配置类,常规操作,不多说了。 @Autowired UserService userService; @Bean PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected v...
springboot集成spring security初探2--从数据库读取用户权限
iamletian
11-10 1343
篇文章只是实现了 UserDetailService 接口,简单new 了个 User,并没有连接数据库来验证用户信息和权限。本篇将详细介绍连接数据库之后的认证操作。
SpringSecurity——基于角色权限控制和资源权限控制
最新发布
gege_0606的博客
03-19 1423
直接在resources/static/error下面配置页面即可Spring Boot 内置了个默认的错误处理机制。当应用返回错误状态码(例如 403)时,Spring Boot 会自动查找与该状态码匹配的错误页面。如果在下存在对应名称(如403.html)的页面,系统就会直接返回该静态页面,而无需额外配置或编写代码。这种设计符合 Spring Boot “约定优于配置” 的理念,简化了错误处理的配置过程。
精选资源
spring security 自定义动态权限
09-10
动态权限管理的核心思想是将权限规则从代码中解耦出来,转移到个更加灵活的存储介质——数据库中。在这个体系下,所有的权限规则和URL拦截信息都被存储在数据库的相应表中,这样来,当需要调整对某个URL的权限时...
springsecurity数据库进行用户认证和权限管理
AdeleXMD的博客
12-29 432
securityconfig配置类。--核心安全依赖-->UserEnum枚举类。
springBoot+security+mybatis 实现用户权限数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
spring security 读取数据库权限信息
03-17
项目自身的权限信息结合spring security 框架的实现。 本DEMO只包括从数据库读取登录认证信息,认证通过后 从数据库读取授权信息来控制用户的访问.权限元素包括 用户,角色,菜单以及这三者的关系。 本DEMO使用了spring security, hibernate jpa 以及struts.
SpringSecurity基于数据库认证以及权限管理
dy051107的博客
06-02 879
篇对SpringSecurity做了基本介绍,以及做了个基于内存用户认证的小栗子,在企业开发中,都会连接数据库来做认证,那怎么来基于数据库做认证呢,今天我们就动手练习下,我们使用的环境呢,springboot+springsecurity+mybaits+mysql来搭建。 没有mysql数据库环境的小伙伴,可以看下我之前的文章,来安装mysql docker安装mysql 安装完数据库后,创建个名为SpringSecurity的schema数据库,导入两个表,个...
spring security 权限(注解)
ProGram_BlackCat的博客
05-14 5194
写在前边整理的知识点都是从其他博客中来,如有侵权,立删! 参考:https://blog.youkuaiyun.com/qq_32867467/article/details/103097190 正题: Spring Security 默认是禁用注解的,要想开启注解,要在继承 WebSecurityConfigurerAdapter 的类加 @EnableMethodSecurity 注解,并在该类中将 AuthenticationManager 定义为 Bean。 @Configuration @EnableWeb
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单的登录
Mr_XiMu的博客
02-15 1737
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单的登录
springsecurity基于数据库中的用户信息实现登陆
qq_60614034的博客
01-31 1373
SpringSecurity个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。SpringBootSpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。登陆大致流程:1.输入任意路径,configure(HttpSecurity http)方法判断是否放行2.不放行则打回到登陆页面3.当我们在登陆页面输入用户名和密码。
SpringSecurity权限管理的详细使用
qq_45105989的博客
10-30 1989
SpringSecurity的框架搭建、详细使用及使用细节。
SpringSecurity实现角色权限控制(SpringBoot+SpringSecurity+JWT)
lans_g的博客
05-14 9138
通过springboot整合jwt和security,以用户名/密码的方式进行认证和授权。认证通过jwt+数据库的,授权这里使用了两种方式,分别是SpringSecurity自带的hasRole方法+SecurityConfig和 我们自定义的permission+@PreAuthorize注解。用来存储和获取当前线程关联的 SecurityContext 对象的类。
Spring Security 配置多种校验规则
qq_65142821的博客
01-29 622
为了测试方便,首先在项目中创建个pages文件夹创建a.html、b.html、c.html几个页面。此时分别用admin用户和user用户登录测试效果。改造UserService。登录成功后 访问a.html。使用user用户名测试。接着访问b.html。
基于Spring Security的角色权限登录实现
本项目标题为“springsecurity实现角色权限登录.rar”,从其描述可知,这是个基于 Spring Security 实现的用户角色权限登录功能的小型示例工程,开发者在参考网络资料的基础上进行了自定义修改,重点在于通过...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值