SpringSecurity入门

Posted 恒哥~Bingo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringSecurity入门相关的知识,希望对你有一定的参考价值。


超详细的Java知识点汇总


前言

SpringSecurity入门(一)中,我们体验了SpringSecurity在权限控制方面的强大,此文我们从实际开发的角度,将SpringSecurity整合到项目中。

自定义登录和授权逻辑

SpringSecurity的登录和授权逻辑可以通过实现UserDetailsService接口完成。
UserDetailsService接口:

public interface UserDetailsService 
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;

loadUserByUsername方法通过用户名查询用户信息。
UserDetails接口,包含账号、密码和权限。

public interface UserDetails extends Serializable 
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();

UserDetails的主要实现类是:org.springframework.security.core.userdetails.User

案例整合

整合SpringBoot+SpringSecurity+MyBatis-Plus完成登录和授权
数据库采用RBAC(基于角色的权限控制)结构
用户和角色,角色和权限都是多对多关系
主要有5张表

  • user 用户表
  • role 角色表
  • permission 权限表
  • user_role 用户角色表
  • role_permission 角色权限表


用户密码采用BCryptPasswordEncoder进行了加密

项目依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <optional>true</optional>
</dependency>
<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.4.1</version>
</dependency>
        <dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <scope>runtime</scope>
</dependency>

application.properties

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/blb_erp2?serverTimezone=UTC&useUnicode=true&useSSL=false&characterEncoding=utf8
spring.datasource.username=root
spring.datasource.password=123456

mybatis-plus.type-aliases-package=com.xray.spring_security_db_demo.entity
mybatis-plus.mapper-locations=classpath:mapper/*.xml

实体类User、Role、Permission略
UserMapper接口
如果要进行用户授权,就需要通过用户名查询角色和权限

public interface UserMapper extends BaseMapper<User> 

    /**
     * 根据用户名查询所有角色
     */
    List<Role> selectRolesByUsername(String username);

    /**
     * 根据用户名查询所有权限
     */
    List<Permission> selectPermissionsByUsername(String username);

UserMapper.xml映射文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.xray.spring_security_db_demo.mapper.UserMapper">

    <select id="selectRolesByUsername" resultType="Role">
        select r.* from user u join user_role ur on u.id = ur.user_id
        join role r on r.id = ur.role_id
        where u.username = #username
    </select>

    <select id="selectPermissionsByUsername" resultType="Permission">
        select p.* from user u join user_role ur on u.id = ur.user_id
        join role r on r.id = ur.role_id
        join role_permission rp on r.id = rp.role_id
        join permission p on p.id = rp.fun_id
        where u.username = #username
    </select>
</mapper>

实现UserDetailsService接口

@Service
public class UserDetailsServiceImpl implements UserDetailsService 

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException 
        //根据用户名查询用户
        User user = userMapper.selectOne(new QueryWrapper<User>().lambda().eq(User::getUsername, s));
        if(user == null)
            throw new UsernameNotFoundException("Username is not exists");
        
        StringBuilder authorities = new StringBuilder();
        //查询角色
        List<Role> roles = userMapper.selectRolesByUsername(s);
        //查询权限
        List<Permission> permissions = userMapper.selectPermissionsByUsername(s);
        //拼接角色到字符串中,角色需要以ROLE_开头
        roles.forEach(role -> authorities.append("ROLE_"+role.getName()+","));
        //拼接权限名称
        permissions.forEach(permission -> authorities.append(permission.getName()+","));
        authorities.deleteCharAt(authorities.length() - 1);
        //将用户名、密码以及所有角色和权限包装到userdetails.User对象中,返回
        org.springframework.security.core.userdetails.User user1 = new org.springframework.security.core.userdetails.User(user.getUsername(),
                user.getPassword(), AuthorityUtils.commaSeparatedStringToAuthorityList(authorities.toString()));
        return user1;
    

在配置类中,将内存中的用户改为数据库的自定义验证

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter 

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder passwordEncoder()
        return new BCryptPasswordEncoder();
    

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        //配置数据库自定义验证
        auth.userDetailsService(userDetailsService);
    

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        http.authorizeRequests()
                //配置放行
                .antMatchers("/login").permitAll()
                //访问url需要某个权限
                .antMatchers("/user/**").hasAuthority("销售管理")
                //需要角色
                .antMatchers("/admin/**").hasRole("管理员")
                //除放行外,其他都要验证
                .anyRequest().authenticated()
                .and()
                //配置登录页面和登录后跳转的页面
                .formLogin().loginPage("/login").defaultSuccessUrl("/main")
                .and()
                //配置注销页面和注销后的页面
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login");
    

启动类

@MapperScan("com.xray.spring_security_db_demo.mapper")
@SpringBootApplication
public class SpringSecurityDbDemoApplication 

    public static void main(String[] args) 
        SpringApplication.run(SpringSecurityDbDemoApplication.class, args);
    


UserController控制器不变
启动项目,使用admin登录

可以看到所有的角色和权限

admin具有管理员角色和销售管理权限,可以进入管理员和用户页面


另一个用户heng有销售管理权限,没有管理员角色,不能进入管理员页面

但可以访问用户页面

实现RememberMe

可以在前面的案例中加入记住我的功能
登录页面添加复选框,name为rememberMe

    <form th:action="@/login" method="post">
        <input type="text" name="username" placeholder="Input your username"><br>
        <input type="password" name="password" placeholder="Input your password"><br>
        <input type="checkbox" name="rememberMe" value="true">记住我<br>
        <input type="submit" value="Login">
    </form>

添加RememberMe的配置,此配置主要是在MySQL数据库中创建RememberMe相关的表,并返回该表的jdbc操作对象。

@Configuration
public class RememberMeConfig 

    @Autowired
    private DataSource dataSource;

    @Bean
    public PersistentTokenRepository persistentTokenRepository()
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //在第一次启动时建表,后面需要关闭此配置,否则会出错
//        jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    

修改配置类SecurityConfig
注入jdbc的操作对象

@Autowired
private PersistentTokenRepository persistentTokenRepository;

在configure方法中加入RememberMe的配置

http
//配置记住我
.rememberMe()
//表单中的名称
.rememberMeParameter("rememberMe")
//jdbc操作对象
.tokenRepository(persistentTokenRepository)
//记住我的时间为60秒
.tokenValiditySeconds(60);

登录的用户勾选记住我,关闭页面后在60秒内可以直接进入后台,60秒后需要重新登录

在数据库中会出现persistent_logins表,会记录每个用户的登录时间

以上是关于SpringSecurity入门的主要内容,如果未能解决你的问题,请参考以下文章

springboot11-01-security入门

《SpringSecurity框架专题》-01基础入门

SpringSecurity简介及其入门案例

SpringSecurity框架教程-简介与SpringSecurity框架教程-入门案例准备工作

一SpringSecurity框架介绍及入门案例

SpringSecurity 入门