SpringSecurity页面授权与登录验证实现(内存取值与数据库取值)
SpringSecurity?
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作
绝大部分对于项目的说明写在代码注释中
此博客中的项目基于SpringBoot(2.6.7)整合Mybatis项目创建,其中大部分依赖版本依据SpringBoot(2.6.7)而定,小部分官方未提供版本建议需自行指定
一.导入依赖
<dependencies> <!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--thymeleaf--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> <!--web--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!--lombok--> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <optional>true</optional> </dependency> <!--junit--> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> </dependency> <!--mybatis--> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.2.2</version> </dependency> <!--mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> <!--druid--> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.1.10</version> </dependency> <!--log4j--> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <!--devtools--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> </dependency> </dependencies>
二.配置yml文件
server: port: 8080 mybatis: mapper-locations: classpath:mappers/*.xml configuration: map-underscore-to-camel-case: true spring: datasource: driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql://localhost:3306/mybatis?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai username: root password: 123456789 #德鲁伊数据源 type: com.alibaba.druid.pool.DruidDataSource druid: #SpringBoot默认是不注入 需要自己绑定至bean(使用java配置bean时 因为springboot内置了servlet容器 所以无web.xml 需要@Bean将配置注入) #druid数据源专有配置 initialSize: 5 minIdle: 5 maxActive: 20 maxWait: 60000 timeBetweenEvictionRunsMillis: 60000 minEvictableIdleTimeMillis: 300000 validationQuery: SELECT 1 FROM DUAL testWhileIdle: true testOnBorrow: false testOnReturn: false poolPreparedStatements: true #配置监控统计拦截的filters。stat:监控统计、wall:防御sql注入、log4j:日志记录 filters: stat,wall,log4j maxPoolPreparedStatementPerConnectionSize: 20 useGlobalDataSourceStat: true connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500 #配置 DruidStatFilter web-stat-filter: enabled: true url-pattern: /* exclusions: /druid/*,*.js,*.css,*.gif,*.jpg,*.bmp,*.png,*.ico #配置 DruidStatViewServlet stat-view-servlet: #访问德鲁伊监控页面的地址 url-pattern: /druid/* #IP白名单 没有配置或者为空 则允许所有访问 allow: 127.0.0.1 #IP黑名单 若白名单也存在 则优先使用 # deny: ip地址 #禁用重置按钮 # reset-enable: false #登录德鲁伊监控页面所用的用户名与密码 login-username: root login-password: 123456 #关闭thymeleaf缓存 修改代码后无需重启即可更新 thymeleaf: cache: false #security认证设置 配置类中若存在设置 则yml文件不生效 # security: # user: # name: # password: # roles:
三.代码部分
DAO层(注意@Repository与@Mapper注解)
@Repository @Mapper public interface AuthUserMapper { AuthUser queryByUserName(String username); List<AuthRole> queryRoleByUserId(int id); }
<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="cn.alan.springboot.DAO.AuthUserMapper"> <select id="queryByUserName" parameterType="String" resultType="cn.alan.springboot.POJO.AuthUser"> select * from mybatis.auth_user where username = #{username}; </select> <select id="queryRoleByUserId" parameterType="int" resultType="cn.alan.springboot.POJO.AuthRole"> select * from mybatis.auth_role where user_id = #{id}; </select> </mapper>
Service层(注意@Service注解)
Service类需要实现UserDetailsService接口
@Service public class AuthUserService implements UserDetailsService { @Autowired AuthUserMapper authUserMapper; //根据用户名从数据库获取用户信息 密码验证由SpringSecutit进行 @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { AuthUser user = authUserMapper.queryByUserName(username); if (user == null) { throw new UsernameNotFoundException("unknown username");//抛出异常 } List<AuthRole> authRole = authUserMapper.queryRoleByUserId(user.getId()); user.setAuthRoles(authRole); return user; } }
Controller层(注意@Controller注解)
@Controller//springsecurity controller类 public class RouterController { @Autowired cn.alan.springboot.DAO.AuthUserMapper authUserMapper; @RequestMapping({"/", "/index"}) public String toIndex(){ return "index"; } @RequestMapping("/toLogin") public String toLogin(){ return "security/login"; } @RequestMapping("/add") public String toAdd(){ return "security/add"; } @RequestMapping("/update") public String toUpdate(){ return "security/update"; } @RequestMapping("/admin") public String toAdmin(){ return "security/admin"; } }
POJO
User实体类需要实现UserDetails接口
@Data @Getter @Setter //必须实现所有UserDetails方法 必须有与方法对应的变量 数据库中是否有对应字段不影响验证 public class AuthUser implements UserDetails { private int id; private String username; private String password; private List<AuthRole> AuthRoles; private int accountNonExpired; private int accountNonLocked; private int credentialsNonExpired; private int enabled; //获取用户所有角色信息 @Override public Collection<? extends GrantedAuthority> getAuthorities() { List<SimpleGrantedAuthority> authorities = new ArrayList<>(); for(AuthRole role : AuthRoles){ //为所有角色字段的数据加上 ROLE_ 前缀 //无此前缀无法被security识别为角色 //当然 可以在数据库中直接添加前缀 authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getUserRole())); } return authorities; } //判断账户是否过期 @Override public boolean isAccountNonExpired() { return accountNonExpired==0; } //判断账户是否锁定 @Override public boolean isAccountNonLocked() { return accountNonLocked==0; } //判断密码是否过期 @Override public boolean isCredentialsNonExpired() { return credentialsNonExpired==0; } //判断账户是否可用 @Override public boolean isEnabled() { return enabled==0; } }
@Data @Getter @Setter public class AuthRole { int userId; String userRole; }
Config
Config类需要继承WebSecurityConfigurerAdapter类,且需要添加一个加密Bean
package cn.alan.springboot.Config; import cn.alan.springboot.Service.AuthUserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; @Configuration @EnableWebSecurity//开启springsecurity //继承WebSecurityConfigurerAdapter类 public class SecurityConfig extends WebSecurityConfigurerAdapter { //授权 @Override protected void configure(HttpSecurity http) throws Exception { //规则 http.authorizeHttpRequests() .antMatchers("/").permitAll()//该页面允许所有人访问 .antMatchers("/add").hasRole("add")//访问/level1/* 需要权限1 .antMatchers("/update").hasRole("update")//访问/level2/* 需要权限2 .antMatchers("/admin").hasRole("admin");//访问/level3/* 需要权限3 //开启注销功能(默认使用security提供的注销页面) //.logoutSuccessUrl() 注销成功后返回的页面 http.logout().logoutSuccessUrl("/"); //没有权限会默认走登录页面(默认使用security提供的登陆页面) //.loginPage() 自定义登陆页面 //.loginProcessingUrl() 设置实际处理提交的页面 设置后将登陆页面中表单的action设置为相同url //.usernameParameter() 表单中username输入框的name属性 默认为username //.passwordParameter() 表单中password输入框的name属性 默认为password http.formLogin().loginPage("/toLogin"); //注:自定义登陆页面后security提供的登录页面将失效 同时security提供的注销询问页面也将失效 但注销功能任然可用 //开启"remember me"功能 //.rememberMeParameter() 表单中rememberme单选框的name属性 默认为remember-me http.rememberMe(); //关闭CSRF防护 //自定义登陆页面后 不关闭此选项将无法注销 http.csrf().disable(); } @Autowired AuthUserService authUserService; //认证 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(authUserService); //从内存中取值 在新版本中需要对密码进行加密 否则无法登陆 .passwordEncoder(new BCryptPasswordEncoder()) // auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) // .withUser("one").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1") // .and()//该方法中使用链式写法配置用户信息 用户之间需要用.and()连接 // .withUser("two").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2") // .and() // .withUser("three").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3"); } //加密 前端的明文密码会在被加密后与后端数据库中的密文进行比对 //SpringSecurity默认开启加密 数据库中的密码若不符合密文格式 认证不会通过 //记得@Bean @Bean PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } }
Utils
加密工具类,此处采用BCryptPasswordEncoder进行加密
public class PasswordEncoderUtils { private final PasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); @Test public void encode() { String password = "123"; String encodedPassword = passwordEncoder.encode(password); System.out.println("password: " + password); System.out.println("encodedPassword: " + encodedPassword); } }
数据库
资源目录结构
index.html
<!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security" > <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <center> <h1>index</h1> </center> <hr> <center> <div sec:authorize="!isAuthenticated()"><!--未认证时显示--> <a th:href="@{/toLogin}" rel="external nofollow" ><h1>Login</h1></a> </div> <div sec:authorize="isAuthenticated()"><!--认证后时显示--> <!--注销--> <!--security自带logout页面--> <a th:href="@{/logout}" rel="external nofollow" > <h1>Logout</h1> </a> </div> <div sec:authorize="hasRole('add')"><!--拥有add权限时显示--> <a th:href="@{/add}" rel="external nofollow" ><h1>add</h1></a> </div> <div sec:authorize="hasRole('update')"><!--拥有update权限时显示--> <a th:href="@{/update}" rel="external nofollow" ><h1>update</h1></a> </div> <div sec:authorize="hasRole('admin')"><!--拥有admin权限时显示--> <a th:href="@{/admin}" rel="external nofollow" ><h1>admin</h1></a> </div> <hr> <div sec:authorize="isAuthenticated()"><!--认证后时显示--> <strong>用户名:</strong><strong sec:authentication="name"></strong> <br> <strong>角色:</strong><span sec:authentication="principal.authorities"></span> </div> </center> </body> </html>
login.html
<!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <title>登录</title> </head> <body> <div style="text-align: center"> <h1>Login</h1> </div> <div style="text-align: center"> <form th:action="@{/toLogin}" method="post"> <strong>Username</strong> <br> <!--账户与密码的name在security中默认值为username与password--> <!--若需自定义 可在security的config类中自定义--> <input type="text" name="username"> <br> <br> <strong>Password</strong> <br> <input type="password" name="password"> <br> <br> <div> <input type="checkbox" name="remember-me"><strong>remember me</strong> </div> <br> <br> <!--注意type需为submit 勿错写为button--> <input type="submit" value="Submit"> </form> </div> </body> </html>
add.html(update.html、admin.html与此大同小异,不赘述)
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <div style="text-align: center"> <h1>add</h1> </div> </body> </html>
运行效果
访问localhost:8080进入首页,点击登录按钮进入登录页面
输入数据库中的账户密码(未加密),点击提交按钮进行登录
不同的账户拥有的角色不同,首页显示的内容也不尽相同。可点击注销按钮进行注销
注销后返回首页
至此,页面授权与登录认证(数据库取值)均完成。到此这篇关于SpringSecurity页面授权与登录验证实现(内存取值与数据库取值)的文章就介绍到这了,更多相关SpringSecurity页面授权与登录验证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
使用StringRedisTemplate操作Redis方法详解
这篇文章主要为大家介绍了使用StringRedisTemplate操作Redis方法详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-08-08spring使用WebSocket注入service层失败问题及解决
这篇文章主要介绍了spring使用WebSocket注入service层失败问题及解决,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-07-07
最新评论