2. 程式人生 > >【Spring Security實戰系列】Spring Security實戰(三)

【Spring Security實戰系列】Spring Security實戰(三)

阿新 發佈:2019-02-07
Spring Security實戰(二)中講解了用Spring Security自帶的預設資料庫儲存使用者和許可權的資料,但是Spring Security預設提供的表結構太過簡單了,其實就算預設提供的表結構很複雜,也不一定能滿足專案對使用者資訊和許可權資訊管理的要求。那麼接下來就講解如何自定義資料庫實現對使用者資訊和許可權資訊的管理。 一 自定義表結構 這裡還是用的mysql資料庫,所以pom.xml檔案都不用修改。這裡只要新建三張表即可,user表、role表、user_role表。其中user使用者表,role角色表為儲存使用者許可權資料的主表,user_role為關聯表。user使用者表,role角色表之間為多對多關係,就是說一個使用者可以有多個角色。建表語句並插入資料:
 
- - 角色  
create table role(  
    id bigint,  
    `name` varchar(50),  
    descn varchar(200)  
);  
alter table role add constraint pk_role primary key(id);  
- - alter table role alter column id int generated by default as identity(1, 1); 
  
- - 使用者  
create table `user`(  
    id bigint,  
    username varchar(50),  
    `password` varchar(50),  
    `status` integer,  
    descn varchar(200)  
);  
alter table `user` add constraint pk_user primary key(id);  
- - alter table `user` alter column id bigint generated by default as identity(start with 1);  
  
- - 使用者角色連線表  
create table user_role(  
    user_id bigint,  
    role_id bigint  
);  
alter table user_role add constraint pk_user_role primary key(user_id, role_id);  
alter table user_role add constraint fk_user_role_user foreign key(user_id) references `user`(id);  
alter table user_role add constraint fk_user_role_role foreign key(role_id) references role(id);

- - 插入資料
insert into user(id,username,password,status,descn) values(1,'admin','admin',1,'管理員');  
insert into user(id,username,password,status,descn) values(2,'user','user',1,'使用者');  
  
insert into role(id,name,descn) values(1,'ROLE_ADMIN','管理員角色');  
insert into role(id,name,descn) values(2,'ROLE_USER','使用者角色');  
  
insert into user_role(user_id,role_id) values(1,1);  
insert into user_role(user_id,role_id) values(1,2);  
insert into user_role(user_id,role_id) values(2,2);
二 修改Spring Security的配置檔案(applicationContext-security.xml) 現在我們要在這樣的資料結構基礎上使用Spring Security,Spring Security所需要的資料無非就是為了處理兩種情況,一是判斷登入使用者是否合法,二是判斷登陸的使用者是否有許可權訪問受保護的系統資源。因此我們所要做的工作就是在現有資料結構的基礎上,為Spring Security提供這兩種資料。 在jdbc-user-service標籤中有這樣兩個屬性: 1. users-by-username-query為根據使用者名稱查詢使用者,系統通過傳入的使用者名稱查詢當前使用者的登入名,密碼和是否被禁用這一狀態。
 2.authorities-by-username-query為根據使用者名稱查詢許可權,系統通過傳入的使用者名稱查詢當前使用者已被授予的所有許可權。 所以 users-by-username-query屬性要的是通過username來查詢使用者名稱、密碼和是否可用;authorities-by-username-query屬性是通過username來查詢使用者許可權,所以在我們自定義的表結構的基礎上對sql語句進行修改,得到如下配置: 
<!-- 預設資料庫對使用者進行儲存 Spring Security預設情況下需要兩張表,使用者表和許可權表。-->
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="mysqlDataSource"
                  users-by-username-query="select username,`password`,`status` as enabled from `user` where username = ?"
                  authorities-by-username-query="select `user`.username,role.`name` from `user`,role,user_role where `user`.id=user_role.user_id and user_role.role_id=role.id and `user`.username = ?" />

        </authentication-provider>
    </authentication-manager>

這樣最終得到的配置檔案如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xmlns:sec="http://www.springframework.org/schema/security"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/context
                        http://www.springframework.org/schema/context/spring-context-3.1.xsd
                        http://www.springframework.org/schema/tx
                        http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
                        http://www.springframework.org/schema/security
                        http://www.springframework.org/schema/security/spring-security.xsd">


    <!-- 配置不過濾的資源(靜態資源及登入相關).是忽略攔截某些資源的意思,主要是針對靜態資源 -->
    <http pattern="/**/*.css" security="none"></http>
    <http pattern="/**/*.jpg" security="none"></http>
    <http pattern="/**/*.jpeg" security="none"></http>
    <http pattern="/**/*.gif" security="none"></http>
    <http pattern="/**/*.png" security="none"></http>
    <http pattern="/js/*.js" security="none"></http>

    <http pattern="/login.jsp" security="none"></http>
    <http pattern="/getCode" security="none" /><!-- 不過濾驗證碼 -->
    <http pattern="/test/**" security="none"></http><!-- 不過濾測試內容 -->

    <http auto-config="true">
        <!-- 表示訪問app.jsp時,需要ROLE_SERVICE許可權 -->
        <intercept-url pattern="/adminPage.jsp" access="hasRole('ROLE_ADMIN')"></intercept-url>
        <!--表示訪問任何資源都需要ROLE_ADMIN許可權。-->
        <intercept-url pattern="/**" access="hasRole('ROLE_USER')"></intercept-url>
    </http>

    <!-- 匯入資料來源 -->
    <beans:import resource="applicationContext-dataSource.xml"></beans:import>

    <!-- 預設資料庫對使用者進行儲存 Spring Security預設情況下需要兩張表,使用者表和許可權表。-->
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="mysqlDataSource"
                  users-by-username-query="select username,`password`,`status` as enabled from `user` where username = ?"
                  authorities-by-username-query="select `user`.username,role.`name` from `user`,role,user_role where `user`.id=user_role.user_id and user_role.role_id=role.id and `user`.username = ?" />

        </authentication-provider>
    </authentication-manager>
</beans:beans>

和配置(如applicationContext.xml、pplicationContext-dataSource.xml、logback.xml、datasource.properties)和前面的實戰二(Spring Security實戰(二))完全一樣,請參考前面的實戰吧!

三 結果 由於只是換了使用者資訊和許可權資訊儲存的方式,其他的都沒有改變,效果和實戰一的效果是一樣的

相關推薦

Spring Security實戰系列Spring Security實戰(七)

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.sp

Spring Security實戰系列Spring Security實戰()

Spring Security實戰(二)中講解了用Spring Security自帶的預設資料庫儲存使用者和許可權的資料,但是Spring Security預設提供的表結構太過簡單了,其實就算預設提供的表結構很複雜,也不一定能滿足專案對使用者資訊和許可權資訊管理的要求。那麼

Spring Security實戰系列Spring Security實戰(四)

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.sp

Spring Security OAuth2筆記系列- Spring Social第三方登入

QQ登入 上一章節完成了 ServiceProvider的功能,這一節完成應用內部的需要做的一些功能 注意看這個官網文件: https://docs.spring.io/spring-social/docs/1.1.x/ 由於在spring-bo

Spring系列——Spring Framework簡介(二)

目錄 Core Container Core Container由spring-core,spring-beans,spring-context,spring-context-support,and spring-expression這些模組組成。

Spring錯誤筆記系列自己new出來的bean中被@Autowired註解修飾的屬性報空指標異常:java.lang.NullPointException

自己new出來的bean中被@Autowired註解修飾的屬性報空指標異常 異常描述 原本我再測試RabbitMQ的傳送程式,裡面用到了一個AmqpTemplate介面,用了@Autowired註解。但是當我使用AmqpTemplate的conver

spring系列- Spring的FactoryBean的基本認識

FactoryBean:工廠Bean IOC容器內部一種特殊的Bean,主要作用就是管理內部的Bean例項物件(單例/原型物件),扮演類似工廠的角色 特點: 通過Bean名稱只能獲取其生產的物件,

Spring原始碼分析系列ApplicationContext 相關介面架構分析

在使用Spring的時候,我們經常需要先得到一個ApplicationContext物件,然後從該物件中獲取我們配置的Bean物件

學習底層原理系列重讀spring原始碼1-建立基本的認知模型

開篇閒扯 在工作中,相信很多人都有這種體會,與其修改別人程式碼,寧願自己重寫。 為什麼? 先說為什麼願意自己寫: 從0-1的過程,是建立在自己已有認知基礎上,去用自己熟悉的方式構建一件作品。也就是說, 1.對目標的認知是熟悉的(當然每個人水平可能不一樣,也有可能是錯的,這不重要,重要的是自認為是符合的); 2

Redis系列Spring boot實現監聽Redis key失效事件

> talk is cheap, show me the code. ## 一、開啟Redis key過期提醒 - 方式二:修改配置檔案 `redis.conf` ``` # 預設 notify-keyspace-events "" notify-keyspace-events Ex

spring源碼學習spring的IOC容器之BeanFactoryPostProcessor接口學習

時機 process roc sta 自動 註解 lis nbsp factor 【一】org.springframework.beans.factory.config.BeanFactoryPostProcessor接口==>該接口實現方法的執行時機:該接口void

spring源碼學習spring的AOP面向切面編程的實現解析

內部 遠程調用 關註 add aps 文件 uem 連接 row 一:Advice(通知)(1)定義在連接點做什麽,為切面增強提供織入接口。在spring aop中主要描述圍繞方法調用而註入的切面行為。(2)spring定義了幾個時刻織入增強行為的接口??=>org.

spring源碼學習spring的遠程調用實現源碼分析

數據 編碼方式 ria date 技術 color nbsp mvc err 【一】spring的遠程調用提供的基礎類 (1)org.springframework.remoting.support.RemotingSupport ===>spring提供實現的遠程調

spring源碼學習spring配置的事務方式是REQUIRED,但業務層拋出TransactionRequiredException異常問題

uncaught easy lap api tee class odi lose gre (1)spring拋出異常的點:org.springframework.orm.jpa.EntityManagerFactoryUtils public static DataAc

第四十章Spring Boot 自定義攔截器

ram obj pre .config factor ati bean configure 邏輯 1.首先編寫攔截器代碼 package com.sarnath.interceptor; import javax.servlet.http.HttpServlet

Spring4(一)Spring的概述、入門、Bean管理和屬性注入

Spring的概述 Spring的概述 什麼是Spring ​​ Spring:SE/EE開發的一站式框架。 一站式框架:有EE開發的每一層解決方案。 WEB層 :SpringMVC Service層

Java Web開發學習Spring JPA

【Java Web開發學習】Spring JPA  轉載:https://www.cnblogs.com/yangchongxing/p/10082864.html   1、使用容器管理型別的JPA JNDI資料來源 package cn.ycx.config; impo

演算法實戰系列之兩數相加

給出兩個 非空 的連結串列用來表示兩個非負的整數。其中,它們各自的位數是按照 逆序 的方式儲存的,並且它們的每個節點只能儲存 一位 數字。 如果,我們將這兩個數相加起來,則會返回一個新的連結串列來表示它們的和。 您可以假設除了數

Spring官方指南學習Spring構建一個 restful web service

【Spring學習筆記,稍作記錄,主要參考Spring官網 http://spring.io/guides】 構建一個restful web service 理解如何用spring去構建一個簡單的 “hello world” Restful we

Java Websocket例項專案實戰系列

現很多網站為了實現即時通訊,所用的技術都是輪詢(polling)。輪詢是在特定的的時間間隔(如每1秒),由瀏覽器對伺服器發 出HTTP request,然後由伺服器返回最新的資料給客服端的瀏覽器。這種傳統的HTTP request 的模式帶來很明顯的缺點 – 瀏 覽器需要