三、 基于默认数据库模型的授权与认证

查看InMemoryUserDetailsManager源码

实现了UserDetailsManager接口

image-20201016101659111.png

选中UserDetailsManager接口，Ctrl+H

发现实现该接口的还有另一个实现类JdbcUserDetailsManager

image-20201016101511396.png

从命名应该能猜到该实现类通过JDBC方式连接数据库

为工程引入JDBC和MYSQL依赖

<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
 <groupId>mysql</groupId>
 <artifactId>mysql-connector-java</artifactId>
 <version>8.0.20</version>
</dependency>

application.yml配置数据连接参数

spring:
 datasource:
 driver-class-name: com.mysql.cj.jdbc.Driver
 username: root
 password: root
 url: jdbc:mysql://localhost:3306/springSecurityDemo?useUnicode=true&&characterEncoding=utf8&&useSSL=false&&serverTimezone=Asia/Shanghai

创建数据库springSecurityDemo

SpringSecurity提供了默认的数据库模型

public JdbcUserDetailsManagerConfigurer<B> withDefaultSchema() {
 this.initScripts.add(new ClassPathResource(
 "org/springframework/security/core/userdetails/jdbc/users.ddl"));
 return this;
 }

地址在org/springframework/security/core/userdetails/jdbc/users.ddl下

image-20201016105051344.png

打开users.ddl

create table users(username varchar_ignorecase(50) not null primary key,password varchar_ignorecase(500) not null,enabled boolean not null);
create table authorities (username varchar_ignorecase(50) not null,authority varchar_ignorecase(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

注意： MySql不支持varchar_ignorecase这种类型，将其改为varchar

create table users(username VARCHAR(50) not null primary key,password VARCHAR(500) not null,enabled boolean not null);
create table authorities (username VARCHAR(50) not null,authority VARCHAR(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

执行建表语句

创建两张表

image-20201016110104571.png

authorities表

image-20201016110547743.png

users表

image-20201016110743875.png

构建JdbcUserDetailsManager实例，让SpringSecurity使用数据库来管理用户

和基于内存类似，只是用户信息来源于数据库

引入DataSource

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
​
 @Autowired
 private DataSource dataSource;
​
 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests()
 .antMatchers("/admin/api/**").hasRole("ADMIN")
 .antMatchers("/user/api/**").hasRole("USER")
 .antMatchers("/app/api/**").permitAll()
 .anyRequest()
 .authenticated()
 .and()
 .formLogin()
 .loginPage("/myLogin.html")
 // 指定处理登录请求的路径,修改请求的路径，默认为/login
 .loginProcessingUrl("/mylogin")
 .permitAll()
 .and()
 .csrf().disable();
 }
​
 /**
 * 基于默认数据库数据模型用户设置
 */
 @Bean
 public UserDetailsService userDetailsService(){
 JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
 manager.setDataSource(dataSource);

 //MD5 加密 名文 111 加密后 698d51a19d8a121ce581499d7b701668
 manager.createUser(User.withUsername("aa").password("{MD5}698d51a19d8a121ce581499d7b701668").roles("USER").build());
 manager.createUser(User.withUsername("bb").password("{noop}222").roles("USER").build());
 return manager;
 }
}

重启项目

访问api http://localhost:8080/user/api/hi

输入用户名aa密码111

访问成功

发现数据库存储了这些信息

image-20201016114243117.png

image-20201016114311093.png

并且注意到在我们设置的权限前加了ROLE_前缀

查看JdbcUserDetailsManager源码

发现定义了大量的sql执行语句

createUser()其实就相当与执行下面SQL语句

insert into users (username, password, enabled) values (?,?,?)

上述代码中存在一个问题

每当我们重启项目时都会去创建用户

但是username是主键，会出现主键冲突异常

nested exception is java.sql.SQLIntegrityConstraintViolationException: Duplicate entry 'aa' for key 'PRIMARY'

稍作修改

/**
 * 基于默认数据库数据模型用户设置
 */
 @Bean
 public UserDetailsService userDetailsService() {
 JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
 manager.setDataSource(dataSource);
 if (!manager.userExists("aa")) {
 //MD5 加密 名文 111 加密后 698d51a19d8a121ce581499d7b701668
 manager.createUser(User.withUsername("aa").password("{MD5}698d51a19d8a121ce581499d7b701668").roles("USER").build());
​
 }
 if (!manager.userExists("bb")) {
 manager.createUser(User.withUsername("bb").password("{noop}222").roles("USER").build());
 }
 return manager;
 }

重启项目

正常

通过修改数据库数据添加管理员用户

image-20201016142700235.png

image-20201016142756146.png

访问api http://localhost:8080/admin/api/hi

输入自己定义的管理员用户名密码

访问成功

四、 基于自定义数据库模型的授权与认证

在项目开发中，默认的数据库模型太过于简单，往往不能满足我们业务的需求，SpringSecurity同样支持，自定义数据库模型的授权与认证。

下面接入自定义的数据库模型

持久层框架使用MyBatis-Plus

使用lombok插件简化代码

为工程引入相关依赖

<dependency>
 <groupId>org.projectlombok</groupId>
 <artifactId>lombok</artifactId>
 <optional>true</optional>
</dependency>
<dependency>
 <groupId>com.baomidou</groupId>
 <artifactId>mybatis-plus-boot-starter</artifactId>
 <version>3.4.0</version>
</dependency>

1. 实现UserDetails

之前的案例中通过实现UserDetailsService，并加上注解注入spring容器，Spring Security会自动发现并使用，

UserDetailsService也仅仅实习了一个loadUserByUsername()方法，用于获取UserDetails对象

UserDetails包含验证所需的一系列信息

public interface UserDetails extends Serializable {
 Collection<? extends GrantedAuthority> getAuthorities();
​
 String getPassword();
​
 String getUsername();
​
 boolean isAccountNonExpired();
​
 boolean isAccountNonLocked();
​
 boolean isCredentialsNonExpired();
​
 boolean isEnabled();
}

所以无论数据来源是什么，或者数据库结构如何变化，我们只需要构造一个UserDetails即可。

1.1 实现自己的用户表

CREATE TABLE `t_user` (
 `id` BIGINT ( 20 ) NOT NULL AUTO_INCREMENT,
 `username` VARCHAR ( 60 ) NOT NULL,
 `password` VARCHAR ( 60 ) NOT NULL,
 `enable` TINYINT ( 4 ) NOT NULL DEFAULT '1' COMMENT '用户是否可用',
 `roles` text CHARACTER SET utf8mb4 COMMENT '用户角色，多个角色之间用逗号隔开',
 PRIMARY KEY ( `id` ), KEY ( `username` ) 
) ENGINE = INNODB DEFAULT CHARSET = utf8mb4;

在username字段上添加索引，提高搜索速度

手动插入两条数据

image-20201016153806726.png

1.2 编写我们的User实体

创建entity包存放实体

新建User实体类

@Data
public class User {
 private Long id;
 private String username;
 private String password;
 private String roles;
 private boolean enable;
}

实现UserDetails

@Data
public class User implements UserDetails {
 private Long id;
 private String username;
 private String password;
 private String roles;
 private boolean enable;
​
 private List<GrantedAuthority> authorities;
​
 @Override
 public Collection<? extends GrantedAuthority> getAuthorities() {
 return this.authorities;
 }
​
 @Override
 public boolean isAccountNonExpired() {
 return true;
 }
​
 @Override
 public boolean isAccountNonLocked() {
 return true;
 }
​
 @Override
 public boolean isCredentialsNonExpired() {
 return true;
 }
​
 @Override
 public boolean isEnabled() {
 return this.enable;
 }
}

重写方法

• isAccountNonExpired()、isAccountNonLocked()、isCredentialsNonExpired()暂时用不到全部返回true

• isEnabled()对应enable字段

• getAuthorities()原本对应的是roles字段，但是自己定义的结构变化，所以我们先新建一个authorities，后期进行填充。

1.3 持久层准备

创建mapper包

创建UserMapper

@Component
public interface UserMapper extends BaseMapper<User> {
​
 @Select("SELECT * FROM t_user WHERE username = #{username}")
 User findByUserName(@Param("username") String username);
}

启动类添加包扫描注解

@MapperScan("com.yang.springsecurity.mapper")
public class SpringSecurityApplication {
​
 public static void main(String[] args) {
 SpringApplication.run(SpringSecurityApplication.class, args);
 }
}

编写业务代码

创建service包

创建MyUserDetailsService实现UserDetailsService

@Service
public class MyUserDetailsService implements UserDetailsService {
​
 @Autowired
 private UserMapper userMapper;
​
 @Override
 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 //查询用户信息
 User user = userMapper.selectByUsername(username);
 if (user==null){
 throw new UsernameNotFoundException(username+"用户不存在");
 }
 //重新填充roles
 user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));
 return user;
 }
}

注意：SpringSecurity5.x 以上版本需要配置加密否则会出现以下异常

There is no PasswordEncoder mapped for the id "null"

配置默认加密方式

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
​
 @Autowired
 private DataSource dataSource;
 @Autowired
 private MyUserDetailsService myUserDetailsService;
​
 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests()
 .antMatchers("/admin/api/**").hasRole("ADMIN")
 .antMatchers("/user/api/**").hasRole("USER")
 .antMatchers("/app/api/**").permitAll()
 .anyRequest()
 .authenticated()
 .and()
 .formLogin()
 .loginPage("/myLogin.html")
 // 指定处理登录请求的路径,修改请求的路径，默认为/login
 .loginProcessingUrl("/mylogin")
 .permitAll()
 .and()
 .csrf().disable();
 }
​
 @Override
 public void configure(AuthenticationManagerBuilder auth) throws Exception {
 auth.userDetailsService(myUserDetailsService).passwordEncoder(NoOpPasswordEncoder.getInstance());
 }
​
}

重启项目

访问api http://localhost:8080/admin/api/hi

输入用户名密码

访问成功

到此我们已经实现了自定义的数据库模型的授权与认证

后期可以根据项目需要丰富验证逻辑，加强安全性

这里一直有个问题

为什么我们的数据库里权限需要加上ROLE_前缀？

查看hasRole()方法源码就很容易理解了

private static String hasRole(String role) {
 Assert.notNull(role, "role cannot be null");
 if (role.startsWith("ROLE_")) {
 throw new IllegalArgumentException(
 "role should not start with 'ROLE_' since it is automatically inserted. Got '"
 + role + "'");
 }
 return "hasRole('ROLE_" + role + "')";
 }

如果不想要匹配这个前缀可换成hasAuthority()方法