Spring Security---将用户数据存入数据库详解
Posted 大忽悠爱忽悠
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security---将用户数据存入数据库详解相关的知识,希望对你有一定的参考价值。
Spring Security---将用户数据存入数据库详解
1.UserDetailService
Spring Security 支持多种不同的数据源,这些不同的数据源最终都将被封装成 UserDetailsService 的实例
可以看到,在几个能直接使用的实现类中,除了 InMemoryUserDetailsManager 之外,还有一个 JdbcUserDetailsManager,使用 JdbcUserDetailsManager 可以让我们通过 JDBC 的方式将数据库和 Spring Security 连接起来。
2.JdbcUserDetailsManager
JdbcUserDetailsManager 自己提供了一个数据库模型,这个数据库模型保存在如下位置:
org/springframework/security/core/userdetails/jdbc/users.ddl
这里存储的脚本内容如下:
create table users
(username varchar_ignorecase(50) not null
primary key,password varchar_ignorecase(500) not null,
enabled boolean not null);
create table authorities
(username varchar_ignorecase(50) not null,
authority varchar_ignorecase(50) not null,
//外键关联
constraint fk_authorities_users foreign key(username) references users(username));
//复合索引
create unique index ix_auth_username on authorities (username,authority);
可以看到,脚本中有一种数据类型 varchar_ignorecase,这个其实是针对 HSQLDB 数据库创建的,而我们使用的 mysql 并不支持这种数据类型,所以这里需要大家手动调整一下数据类型,将 varchar_ignorecase 改为 varchar 即可。
修改完成后,创建数据库,执行完成后的脚本。
执行完 SQL 脚本后,我们可以看到一共创建了两张表:users 和 authorities
- users 表中保存用户的基本信息,包括用户名、用户密码以及账户是否可用。
- authorities 中保存了用户的角色。
- authorities 和 users 通过 username 关联起来。
配置完成后,接下来,我们将上篇文章中通过 InMemoryUserDetailsManager 提供的用户数据用 JdbcUserDetailsManager 代替掉,如下:
@Autowired
DataSource dataSource;
@Override
@Bean
protected UserDetailsService userDetailsService()
JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
manager.setDataSource(dataSource);
if (!manager.userExists("dhy"))
manager.createUser(User.withUsername("dhy").password("123").roles("admin").build());
if (!manager.userExists("大忽悠"))
manager.createUser(User.withUsername("大忽悠").password("123").roles("user").build());
return manager;
这段配置的含义如下:
- 首先构建一个 JdbcUserDetailsManager 实例。
- 给 JdbcUserDetailsManager 实例添加一个 DataSource 对象。
- 调用 userExists 方法判断用户是否存在,如果不存在,就创建一个新的用户出来(因为每次项目启动时这段代码都会执行,所以加一个判断,避免重复创建用户)。
- 用户的创建方法和我们之前 InMemoryUserDetailsManager 中的创建方法基本一致。
这里的 createUser 或者 userExists 方法其实都是调用写好的 SQL 去判断的,我们从它的源码里就能看出来(部分):
public class JdbcUserDetailsManager extends JdbcDaoImpl implements UserDetailsManager,
GroupManager
public static final String DEF_USER_EXISTS_SQL = "select username from users where username = ?";
private String userExistsSql = DEF_USER_EXISTS_SQL;
public boolean userExists(String username)
List<String> users = getJdbcTemplate().queryForList(userExistsSql,
new String[] username , String.class);
if (users.size() > 1)
throw new IncorrectResultSizeDataAccessException(
"More than one user found with name '" + username + "'", 1);
return users.size() == 1;
从这段源码中就可以看出来,userExists 方法的执行逻辑其实就是调用 JdbcTemplate 来执行预定义好的 SQL 脚本,进而判断出用户是否存在,其他的判断方法都是类似,我就不再赘述。
3.数据库支持
通过前面的代码,大家看到这里需要数据库支持,所以我们在项目中添加如下两个依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
然后再在 application.properties 中配置一下数据库连接:
spring.datasource.username=root
spring.datasource.password=123
spring.datasource.url=jdbc:mysql:///security?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
配置完成后,就可以启动项目。
项目启动成功后,我们就可以看到数据库中自动添加了两个用户进来,并且用户都配置了角色.
4.测试
接下来我们就可以进行测试了。
我们首先以 dhy的身份进行登录:
登录成功后,分别访问 /hello,/admin/hello 以及 /user/hello 三个接口,其中:
- /hello 因为登录后就可以访问,这个接口访问成功。
- /admin/hello 需要 admin 身份,所以访问成功。
- /user/hello 需要 user 身份,因为配置了角色继承,所以访问成功
在测试的过程中,如果在数据库中将用户的 enabled 属性设置为 false,表示禁用该账户,此时再使用该账户登录就会登录失败。
配置完成的代码如下:
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter
//fastjson
private ObjectMapper objectMapper=new ObjectMapper();
@Bean
PasswordEncoder passwordEncoder()
//密码不加密
return NoOpPasswordEncoder.getInstance();
//放行静态资源
@Override
public void configure(WebSecurity web) throws Exception
web.ignoring().antMatchers("/js/**", "/css/**","/images/**");
//数据源注入
@Autowired
DataSource dataSource;
//用户配置
@Override
@Bean
protected UserDetailsService userDetailsService()
JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
manager.setDataSource(dataSource);
if (!manager.userExists("dhy"))
manager.createUser(User.withUsername("dhy").password("123").roles("admin").build());
if (!manager.userExists("大忽悠"))
manager.createUser(User.withUsername("大忽悠").password("123").roles("user").build());
return manager;
@Override
protected void configure(HttpSecurity http) throws Exception
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("admin")
.antMatchers("/user/**").hasRole("user")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login.html").permitAll()
.loginProcessingUrl("/login").permitAll()
.successHandler(new AuthenticationSuccessHandler()
@Override
public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException
httpServletResponse.setContentType("application/json;charset=UTF-8");
httpServletResponse.getWriter().write(objectMapper.writeValueAsString(authentication));
).permitAll()
.and()
.csrf().disable();
//角色继承
@Bean
RoleHierarchy roleHierarchy()
RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
hierarchy.setHierarchy("ROLE_admin > ROLE_user");
return hierarchy;
以上是关于Spring Security---将用户数据存入数据库详解的主要内容,如果未能解决你的问题,请参考以下文章
spring session 和 spring security整合
Spring-security 阻止匿名用户从 MongoDB 中提取数据