2. 程式人生 > 實用技巧 >Spring Security(2)----使用者登入認證資料庫實現

Spring Security(2)----使用者登入認證資料庫實現

阿新 發佈:2020-08-05

Spring Security認證架構

在這之前,先來了解一下Spring Security的認證架構,有篇不錯的分析文章,具體可以看這裡:https://my.oschina.net/u/865921/blog/159849。

總的來說,Spring Security通過filter來控制web應用的安全,但filter自己不幹事,分別委託給了認證管理器和決策管理器,認證管理器和決策管理器再分別委託給Provider和Voter,就這樣一級級委託下來,委託的最底層就是需要我們根據實際情況實現的邏輯。可以看下圖:

根據我們這次的目標,想用資料庫來儲存使用者的認證資料,那麼我們就需要一個操作資料庫的Provider,這個Spring Security

內部已經有了實現,就是DaoAuthenticationProvider,我們只需要實現它委託的UserDetailService即可,這個其實在前面一篇文章中已經有了實現,只不過沒用資料庫而已。對於Voter,選擇內建的RoleVoter就夠用了,它會根據我們的設定來決定是否允許某一個使用者訪問特定的Web資源。

建表

想要把資料儲存在資料庫,第一步當然是建表了,這裡簡單起見,只搞了使用者和許可權的基本資訊:

CREATE TABLE `USER` (
  `USER_ID` bigint(20) NOT NULL AUTO_INCREMENT,
  `LOGIN_NAME` varchar(32) NOT NULL,
  `PASSWORD` varchar(32) NOT NULL,
  `GMT_CREATE` datetime NOT NULL,
  PRIMARY KEY (`USER_ID`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `USER_AUTH` (
  `USER_AUTH_ID` bigint(20) NOT NULL AUTO_INCREMENT,
  `USER_ID` bigint(20) NOT NULL,
  `AUTH_CODE` varchar(32) NOT NULL,
  `GMT_CREATE` datetime NOT NULL,
  PRIMARY KEY (`USER_AUTH_ID`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

insert into user(login_name,password,gmt_create) values ('admin','123456',now());
insert into user(login_name,password,gmt_create) values ('selfly','123456',now());
insert into user_auth(user_id,auth_code,gmt_create) values (1,'admin',NOW()); -- admin
insert into user_auth(user_id,auth_code,gmt_create) values (2,'user',NOW()) -- user

Spring Security中,貌似使用者都是對應到角色(role)的,但是在實際的應用中一般都是對應到具體的許可權碼,這點無須糾結,把它理解為命名的方式不同而已即可,關於許可權碼的授權後面再作細講。

修改CustomUserDetailsService

其實沒多大改動,主要就是把寫死的使用者資料換成從資料庫獲取而已,具體程式碼:

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    User user = jdbcDao.querySingleResult(Criteria.select(User.class).where("loginName", new Object[]{s}));
    if (user == null) {
        throw new UsernameNotFoundException("user not found");
    }
    List<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();

    List<UserAuth> userAuthList = jdbcDao.queryList(Criteria.select(UserAuth.class).where("userId", new Object[]{user.getUserId()}));
    if (userAuthList != null) {

        for (UserAuth userAuth : userAuthList) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" + userAuth.getAuthCode()));
            LOG.info("loginName:{},authCode:{}", user.getLoginName(), userAuth.getAuthCode());
        }

    }
    return new org.springframework.security.core.userdetails.User(user.getLoginName(), user.getPassword(),
            authorities);
}

測試

修改後,再訪問 http://localhost:8080/login 頁面,分別用adminselfly登入,許可權校驗結果還是跟前面一樣,但後臺的使用者資訊已經換成從資料庫獲取了。

附件列表

相關推薦

Spring Security2----使用者登入認證資料庫實現

Spring Security認證架構 在這之前,先來了解一下Spring Security認證架構,有篇不錯的分析文章,具體可以看這裡:https://my.oschina.net/u/865921/blog/159849。

Spring Security1--- 許可權控制基本功能實現

前言 Spring Security由acegi進化而來,是一個安全許可權管理框架,功能十分的強大。

Spring Security1入門體驗

Spring Security(1入門體驗 Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。本片文章將講述Security入門到專案實戰使用。其中包括簡單的登入和專案常用的許可權管理,許可權

spring學習2依賴注入

依賴注入:spring通過依賴注入來管理Bean之間的依賴關係; 我理解的依賴注入,就是你執行一個類A的時候,需要一些資料,資料可能是基本型別的一個String,也可能是一個自定義的類,比如需要另一個類B,那類B怎麼不通

Spring Security3----使用者密碼加密實現

前言 Spring Security系列二 使用者登入認證資料庫實現中,我們已經把對使用者的認證改成了資料庫實現,功能上雖然完成了,但是使用者的密碼卻都是以明文儲存的,這在實際專案中安全係數上會有所欠缺。在本章中我們

Spring MVC2

技術標籤:javaspringexception Spring MVC2 異常處理:區域性異常,全域性異常 區域性異常:

Spring原始碼2注入

Spring採用IoC的思想,實現IoC思想的關鍵在於採用了注入的方式進行控制反轉,在Spring中,注入有很多形式,這裡只說明依賴注入、方法注入、自動注入三種。

Spring Security7

您好,我是湘王,這是我的部落格園,歡迎您來,歡迎您再來~ 有時某些業務或者功能,需要在使用者請求到來之前就進行一些判斷或執行某些動作,就像在Servlet中的FilterChain過濾器所做的那樣,Spring Security也有類

Spring深入淺出,3種方法實現Bean初始化回撥Spring中@PostConstruct註解的配置

一、使用介面實現Bean初始化回撥 org.springframework.beans.factory.InitializingBean 介面提供了以下方法:

從零搭建Spring Boot腳手架2:增加通用的功能

1. 前言 今天開始搭建我們的kono Spring Boot腳手架,首先會整合Spring MVC並進行定製化以滿足日常開發的需要,我們先做一些剛性的需求定製,後續再補充細節。如果你看了本文有什麼問題可以留言討論。多多持續關注,

Spring Boot 2.x實戰 - Spring Data 1 - DDD與Spring DataRepository

Spring Data 是一個傘型專案,包含主流的資料庫的訪問技術。這些不同的資料訪問專案都使用相同的程式設計模型,他們都是基於Repository規範介面。我們在本章選關係型資料庫的訪問技術Spring Data JPA和NoSQL的訪問Sp

解決方案 多業務接入認證技術白皮書2

出於精細化管理的需要,運營商要能對使用者進行精確定位,實現可溯源性,便於業務和使用者管理。為了實現這個目的,針對PPPOE認證方式的技術手段主要有QINQ、VBAS和PPPOE+等,從目前應用來看,針對上網業務

Spring Boot Security

Spring Security 配合 Thymeleaf 使用 注:Thymeleaf H5標註頭: xmlns:th=\"https://www.thymeleaf.org\"

spring-boot-starter-parent_SpringBoot入門篇2springbootstarterparent分析

技術標籤:spring-boot-starter-parent 點選上方 藍字可以訂閱哦 上一章SpringBoot簡介與HelloWorld我們通過簡單的HelloWorld工程執行起來了第一個SpringBoot專案,並且做了一些簡單的介紹。這次我們詳細說一下

CAS統一認證——自定義登入資料庫

技術標籤:CASjavaspring 簡介 關於CAS的登入流程,overlay中只是一個簡單的使用者名稱密碼登入**casuser::Mellon**,這個肯定是不能滿足日常生產的需求的,在日常開發中遇到最通用的情況就是從資料庫中進行身份

JavaEE--spring2

技術標籤:JavaEEjavaspring spring中的新註解 Configuration 作用:指定當前類是一個配置類細節:當配置類作為AnnotationConfigApplicationContext物件建立的引數時,該註解可以不寫。

OSCP Security Technology - Enumeration2

OSCP Security Technology - Enumeration2 SMB Enumeration We found the tcp port 111 is open from the scanning result.

NVIDIA Jetson Xavier NX入門2——開機設定和遠端登入

1 開機設定 如果系統映象燒錄成功的話,插入SD卡後,NVIDIA Jetson Xavier NX就可以直接運行了。系統是定製的Ubuntu18.04,開機後同意協議,一直點選continue就可以了。語言建議選擇English,避免後期因為語言出現什

2java Spring Cloud+Spring boot+mybatis企業快速開發架構之SpringCloud-Spring Cloud是什麼?Spring Cloud版本介紹

Spring Cloud 是一系列框架的有序集合。它利用 Spring Boot 的開發便利性,巧妙地簡化了分散式系統基礎設施的開發,如服務註冊、服務發現、配置中心、訊息匯流排、負載均衡、斷路器、資料監控等,這些都可以用 S

Spring核心原理之IoC容器初體驗2

本文節選自《Spring 5核心原理》 1IoC與DI基本概念 IoCInversion of Control,控制反轉就是把原來程式碼裡需要實現的物件建立、依賴,反轉給容器來幫忙實現。我們需要建立一個容器,同時需要一種描述來讓容器