SpringBoot集成Spring Security（1）——入門程序

因為項目需要，第一次接觸 Spring Security，早就聽聞 Spring Security 功能強大但上手困難，學習了幾天出入門道，特整理這篇文章希望能讓后來者少踩一點坑（本文附帶實例程序，請放心食用）

本篇文章環境：SpringBoot 2.0 + Mybatis + Spring Security 5.0

源碼地址：https://github.com/jitwxs/blog_sample

 

文章目錄

一、導入依賴
二、創建數據庫
三、准備頁面
四、配置application.properties
五、創建實體、Dao、Service和Controller
　　5.1 實體
　　5.2 Dao
　　5.3 Service
　　5.4 Controller
六、配置SpringSecurity
　　6.1 UserDetailsService
　　6.2 WebSecurityConfig
七、運行程序

一、導入依賴

導入 spring-boot-starter-security 依賴，在 SpringBoot 2.0 環境下默認使用的是 5.0 版本。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>1.3.1</version>
</dependency>

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

二、創建數據庫

一般權限控制有三層，即：用戶<–>角色<–>權限，用戶與角色是多對多，角色和權限也是多對多。這里我們先暫時不考慮權限，只考慮用戶<–>角色。

創建用戶表sys_user：

CREATE TABLE `sys_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) NOT NULL,
  `password` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 

創建權限表sys_role：

CREATE TABLE `sys_role` (
  `id` int(11) NOT NULL,
  `name` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 

創建用戶-角色表sys_user_role：

CREATE TABLE `sys_user_role` (
  `user_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`user_id`,`role_id`),
  KEY `fk_role_id` (`role_id`),
  CONSTRAINT `fk_role_id` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE,
  CONSTRAINT `fk_user_id` FOREIGN KEY (`user_id`) REFERENCES `sys_user` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 

初始化一下數據：

INSERT INTO `sys_role` VALUES ('1', 'ROLE_ADMIN');
INSERT INTO `sys_role` VALUES ('2', 'ROLE_USER');

INSERT INTO `sys_user` VALUES ('1', 'admin', '123');
INSERT INTO `sys_user` VALUES ('2', 'jitwxs', '123');

INSERT INTO `sys_user_role` VALUES ('1', '1');
INSERT INTO `sys_user_role` VALUES ('2', '2');

 

博主有話說：

這里的權限格式為ROLE_XXX，是Spring Security規定的，不要亂起名字哦。

三、准備頁面

因為是示例程序，頁面越簡單越好，只用於登陸的login.html以及用於登陸成功后的home.html，將其放置在 resources/static 目錄下：

(1)login.html：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陸</title>
</head>
<body>
<h1>登陸</h1>
<form method="post" action="/login">
    <div>
        用戶名：<input type="text" name="username">
    </div>
    <div>
        密碼：<input type="password" name="password">
    </div>
    <div>
        <button type="submit">立即登陸</button>
    </div>
</form>
</body>
</html>

 

博主有話說：

用戶的登陸認證是由Spring Security進行處理的，請求路徑默認為/login，用戶名字段默認為username，密碼字段默認為password

(2)home.html：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>登陸成功</h1>
    <a href="/admin">檢測ROLE_ADMIN角色</a>
    <a href="/user">檢測ROLE_USER角色</a>
    <button onclick="window.location.href='/logout'">退出登錄</button>
</body>
</html>

 

四、配置application.properties

在配置文件中配置下數據庫連接：

spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=utf-8&serverTimezone=UTC&useSSL=true
spring.datasource.username=root
spring.datasource.password=root



#開啟Mybatis下划線命名轉駝峰命名
mybatis.configuration.map-underscore-to-camel-case=true

五、創建實體、Dao、Service和Controller

5.1 實體

(1)SysUser

public class SysUser implements Serializable{
    static final long serialVersionUID = 1L;

    private Integer id;

    private String name;

    private String password;

    // 省略getter/setter
}

 

(2)SysRole

public class SysRole implements Serializable {
    static final long serialVersionUID = 1L;

    private Integer id;

    private String name;

    // 省略getter/setter
}

 

(3)SysUserRole

public class SysUserRole implements Serializable {
    static final long serialVersionUID = 1L;

    private Integer userId;

    private Integer roleId;
    
    // 省略getter/setter
}

 

5.2 Dao

(1)SysUserMapper

@Mapper
public interface SysUserMapper {
    @Select("SELECT * FROM sys_user WHERE id = #{id}")
    SysUser selectById(Integer id);

    @Select("SELECT * FROM sys_user WHERE name = #{name}")
    SysUser selectByName(String name);
}

(2)SysRoleMapper

@Mapper
public interface SysRoleMapper {
    @Select("SELECT * FROM sys_role WHERE id = #{id}")
    SysRole selectById(Integer id);
}

(3)SysUserRoleMapper

@Mapper
public interface SysUserRoleMapper {
    @Select("SELECT * FROM sys_user_role WHERE user_id = #{userId}")
    List<SysUserRole> listByUserId(Integer userId);
}

5.3 Service

(1)SysUserService

@Service
public class SysUserService {
    @Autowired
    private SysUserMapper userMapper;

    public SysUser selectById(Integer id) {
        return userMapper.selectById(id);
    }

    public SysUser selectByName(String name) {
        return userMapper.selectByName(name);
    }
}

 

(2)SysRoleService

@Service
public class SysRoleService {
    @Autowired
    private SysRoleMapper roleMapper;

    public SysRole selectById(Integer id){
        return roleMapper.selectById(id);
    }
}

 

(3)SysUserRoleService

@Service
public class SysUserRoleService {
    @Autowired
    private SysUserRoleMapper userRoleMapper;

    public List<SysUserRole> listByUserId(Integer userId) {
        return userRoleMapper.listByUserId(userId);
    }
}

 

5.4 Controller

@Controller
public class LoginController {
    private Logger logger = LoggerFactory.getLogger(LoginController.class);

    @RequestMapping("/")
    public String showHome() {
        String name = SecurityContextHolder.getContext().getAuthentication().getName();
        logger.info("當前登陸用戶：" + name);

        return "home.html";
    }

    @RequestMapping("/login")
    public String showLogin() {
        return "login.html";
    }

    @RequestMapping("/admin")
    @ResponseBody
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String printAdmin() {
        return "如果你看見這句話，說明你有ROLE_ADMIN角色";
    }

    @RequestMapping("/user")
    @ResponseBody
    @PreAuthorize("hasRole('ROLE_USER')")
    public String printUser() {
        return "如果你看見這句話，說明你有ROLE_USER角色";
    }
}

 

博主有話說：

• 如代碼所示，獲取當前登錄用戶：SecurityContextHolder.getContext().getAuthentication()

• @PreAuthorize 用於判斷用戶是否有指定權限，沒有就不能訪問

六、配置SpringSecurity

6.1 UserDetailsService

首先我們需要自定義 UserDetailsService ，將用戶信息和權限注入進來。

我們需要重寫 loadUserByUsername 方法，參數是用戶輸入的用戶名。返回值是UserDetails，這是一個接口，一般使用它的子類org.springframework.security.core.userdetails.User，它有三個參數，分別是用戶名、密碼和權限集。

實際情況下，大多將 DAO 中的 User 類繼承 org.springframework.security.core.userdetails.User 返回。

@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private SysUserService userService;

    @Autowired
    private SysRoleService roleService;

    @Autowired
    private SysUserRoleService userRoleService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        // 從數據庫中取出用戶信息
        SysUser user = userService.selectByName(username);

        // 判斷用戶是否存在
        if(user == null) {
            throw new UsernameNotFoundException("用戶名不存在");
        }

        // 添加權限
        List<SysUserRole> userRoles = userRoleService.listByUserId(user.getId());
        for (SysUserRole userRole : userRoles) {
            SysRole role = roleService.selectById(userRole.getRoleId());
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }

        // 返回UserDetails實現類
        return new User(user.getName(), user.getPassword(), authorities);
    }
}

6.2 WebSecurityConfig

該類是 Spring Security 的配置類，該類的三個注解分別是標識該類是配置類、開啟 Security 服務、開啟全局 Securtiy 注解。

首先將我們自定義的 userDetailsService 注入進來，在 configure() 方法中使用 auth.userDetailsService() 方法替換掉默認的 userDetailsService。

這里我們還指定了密碼的加密方式（5.0 版本強制要求設置），因為我們數據庫是明文存儲的，所以明文返回即可，如下所示：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        });
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 如果有允許匿名的url，填在下面
//                .antMatchers().permitAll()
                .anyRequest().authenticated()
                .and()
                // 設置登陸頁
                .formLogin().loginPage("/login")
                // 設置登陸成功頁
                .defaultSuccessUrl("/").permitAll()
                // 自定義登陸用戶名和密碼參數，默認為username和password
//                .usernameParameter("username")
//                .passwordParameter("password")
                .and()
                .logout().permitAll();

        // 關閉CSRF跨域
        http.csrf().disable();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 設置攔截忽略文件夾，可以對靜態資源放行
        web.ignoring().antMatchers("/css/**", "/js/**");
    }
}

七、運行程序

注：如果你想要將密碼加密，可以修改 configure() 方法如下：

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
     auth.userDetailsService(userDetailsService)
         .passwordEncoder(new BCryptPasswordEncoder());
 }

 

 

--------------------- 

作者：Jitwxs
來源：CSDN
原文：https://blog.csdn.net/yuanlaijike/article/details/80249235