三、 基于默认数据库模型的授权与认证
查看InMemoryUserDetailsManager源码
实现了UserDetailsManager接口
image-20201016101659111.png
选中UserDetailsManager接口,Ctrl+H
发现实现该接口的还有另一个实现类JdbcUserDetailsManager
image-20201016101511396.png
从命名应该能猜到该实现类通过JDBC方式连接数据库
为工程引入JDBC和MYSQL依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.20</version>
</dependency>
application.yml配置数据连接参数
spring:
datasource:
driver-class-name: com.mysql.cj.jdbc.Driver
username: root
password: root
url: jdbc:mysql://localhost:3306/springSecurityDemo?useUnicode=true&&characterEncoding=utf8&&useSSL=false&&serverTimezone=Asia/Shanghai
创建数据库springSecurityDemo
SpringSecurity提供了默认的数据库模型
public JdbcUserDetailsManagerConfigurer<B> withDefaultSchema() {
this.initScripts.add(new ClassPathResource(
"org/springframework/security/core/userdetails/jdbc/users.ddl"));
return this;
}
地址在org/springframework/security/core/userdetails/jdbc/users.ddl下
image-20201016105051344.png
打开users.ddl
create table users(username varchar_ignorecase(50) not null primary key,password varchar_ignorecase(500) not null,enabled boolean not null);
create table authorities (username varchar_ignorecase(50) not null,authority varchar_ignorecase(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);
注意: MySql不支持varchar_ignorecase这种类型,将其改为varchar
create table users(username VARCHAR(50) not null primary key,password VARCHAR(500) not null,enabled boolean not null);
create table authorities (username VARCHAR(50) not null,authority VARCHAR(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);
执行建表语句
创建两张表
image-20201016110104571.png
authorities表
image-20201016110547743.png
users表
image-20201016110743875.png
构建JdbcUserDetailsManager实例,让SpringSecurity使用数据库来管理用户
和基于内存类似,只是用户信息来源于数据库
引入DataSource
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private DataSource dataSource;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/api/**").hasRole("ADMIN")
.antMatchers("/user/api/**").hasRole("USER")
.antMatchers("/app/api/**").permitAll()
.anyRequest()
.authenticated()
.and()
.formLogin()
.loginPage("/myLogin.html")
// 指定处理登录请求的路径,修改请求的路径,默认为/login
.loginProcessingUrl("/mylogin")
.permitAll()
.and()
.csrf().disable();
}
/**
* 基于默认数据库数据模型用户设置
*/
@Bean
public UserDetailsService userDetailsService(){
JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
manager.setDataSource(dataSource);
//MD5 加密 名文 111 加密后 698d51a19d8a121ce581499d7b701668
manager.createUser(User.withUsername("aa").password("{MD5}698d51a19d8a121ce581499d7b701668").roles("USER").build());
manager.createUser(User.withUsername("bb").password("{noop}222").roles("USER").build());
return manager;
}
}
重启项目
访问api http://localhost:8080/user/api/hi
输入用户名aa密码111
访问成功
发现数据库存储了这些信息
image-20201016114243117.png
image-20201016114311093.png
并且注意到在我们设置的权限前加了ROLE_前缀
查看JdbcUserDetailsManager源码
发现定义了大量的sql执行语句
createUser()其实就相当与执行下面SQL语句
insert into users (username, password, enabled) values (?,?,?)
上述代码中存在一个问题
每当我们重启项目时都会去创建用户
但是username是主键,会出现主键冲突异常
nested exception is java.sql.SQLIntegrityConstraintViolationException: Duplicate entry 'aa' for key 'PRIMARY'
稍作修改
/**
* 基于默认数据库数据模型用户设置
*/
@Bean
public UserDetailsService userDetailsService() {
JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
manager.setDataSource(dataSource);
if (!manager.userExists("aa")) {
//MD5 加密 名文 111 加密后 698d51a19d8a121ce581499d7b701668
manager.createUser(User.withUsername("aa").password("{MD5}698d51a19d8a121ce581499d7b701668").roles("USER").build());
}
if (!manager.userExists("bb")) {
manager.createUser(User.withUsername("bb").password("{noop}222").roles("USER").build());
}
return manager;
}
重启项目
正常
通过修改数据库数据添加管理员用户
image-20201016142700235.png
image-20201016142756146.png
访问api http://localhost:8080/admin/api/hi
输入自己定义的管理员用户名密码
访问成功
四、 基于自定义数据库模型的授权与认证
在项目开发中,默认的数据库模型太过于简单,往往不能满足我们业务的需求,SpringSecurity同样支持,自定义数据库模型的授权与认证。
下面接入自定义的数据库模型
持久层框架使用MyBatis-Plus
使用lombok插件简化代码
为工程引入相关依赖
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.0</version>
</dependency>
1. 实现UserDetails
之前的案例中通过实现UserDetailsService,并加上注解注入spring容器,Spring Security会自动发现并使用,
UserDetailsService也仅仅实习了一个loadUserByUsername()方法,用于获取UserDetails对象
UserDetails包含验证所需的一系列信息
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
所以无论数据来源是什么,或者数据库结构如何变化,我们只需要构造一个UserDetails即可。
1.1 实现自己的用户表
CREATE TABLE `t_user` (
`id` BIGINT ( 20 ) NOT NULL AUTO_INCREMENT,
`username` VARCHAR ( 60 ) NOT NULL,
`password` VARCHAR ( 60 ) NOT NULL,
`enable` TINYINT ( 4 ) NOT NULL DEFAULT '1' COMMENT '用户是否可用',
`roles` text CHARACTER SET utf8mb4 COMMENT '用户角色,多个角色之间用逗号隔开',
PRIMARY KEY ( `id` ), KEY ( `username` )
) ENGINE = INNODB DEFAULT CHARSET = utf8mb4;
在username字段上添加索引,提高搜索速度
手动插入两条数据
image-20201016153806726.png
1.2 编写我们的User实体
创建entity包存放实体
新建User实体类
@Data
public class User {
private Long id;
private String username;
private String password;
private String roles;
private boolean enable;
}
实现UserDetails
@Data
public class User implements UserDetails {
private Long id;
private String username;
private String password;
private String roles;
private boolean enable;
private List<GrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return this.authorities;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return this.enable;
}
}
重写方法
isAccountNonExpired()、isAccountNonLocked()、isCredentialsNonExpired()暂时用不到全部返回true
isEnabled()对应enable字段
getAuthorities()原本对应的是roles字段,但是自己定义的结构变化,所以我们先新建一个authorities,后期进行填充。
1.3 持久层准备
创建mapper包
创建UserMapper
@Component
public interface UserMapper extends BaseMapper<User> {
@Select("SELECT * FROM t_user WHERE username = #{username}")
User findByUserName(@Param("username") String username);
}
启动类添加包扫描注解
@MapperScan("com.yang.springsecurity.mapper")
public class SpringSecurityApplication {
public static void main(String[] args) {
SpringApplication.run(SpringSecurityApplication.class, args);
}
}
编写业务代码
创建service包
创建MyUserDetailsService实现UserDetailsService
@Service
public class MyUserDetailsService implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//查询用户信息
User user = userMapper.selectByUsername(username);
if (user==null){
throw new UsernameNotFoundException(username+"用户不存在");
}
//重新填充roles
user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));
return user;
}
}
注意:SpringSecurity5.x 以上版本需要配置加密否则会出现以下异常
There is no PasswordEncoder mapped for the id "null"
配置默认加密方式
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private DataSource dataSource;
@Autowired
private MyUserDetailsService myUserDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/api/**").hasRole("ADMIN")
.antMatchers("/user/api/**").hasRole("USER")
.antMatchers("/app/api/**").permitAll()
.anyRequest()
.authenticated()
.and()
.formLogin()
.loginPage("/myLogin.html")
// 指定处理登录请求的路径,修改请求的路径,默认为/login
.loginProcessingUrl("/mylogin")
.permitAll()
.and()
.csrf().disable();
}
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(myUserDetailsService).passwordEncoder(NoOpPasswordEncoder.getInstance());
}
}
重启项目
访问api http://localhost:8080/admin/api/hi
输入用户名密码
访问成功
到此我们已经实现了自定义的数据库模型的授权与认证
后期可以根据项目需要丰富验证逻辑,加强安全性
这里一直有个问题
为什么我们的数据库里权限需要加上ROLE_前缀?
查看hasRole()方法源码就很容易理解了
private static String hasRole(String role) {
Assert.notNull(role, "role cannot be null");
if (role.startsWith("ROLE_")) {
throw new IllegalArgumentException(
"role should not start with 'ROLE_' since it is automatically inserted. Got '"
+ role + "'");
}
return "hasRole('ROLE_" + role + "')";
}
如果不想要匹配这个前缀可换成hasAuthority()方法
