SpringBoot集成Spring Security（1）——入門程序

因為項目需要，第一次接觸 Spring Security，早就聽聞 Spring Security 功能強大但上手困難，學習了幾天出入門道，特整理這篇文章希望能讓后來者少踩一點坑（本文附帶實例程序，請放心食用）

本篇文章環境：SpringBoot 2.0 + Mybatis + Spring Security 5.0

源碼地址：https://github.com/jitwxs/blog_sample
文章目錄

一、導入依賴
二、創建數據庫
三、准備頁面
四、配置application.properties
五、創建實體、Dao、Service和Controller
5.1 實體
5.2 Dao
5.3 Service
5.4 Controller
六、配置SpringSecurity
6.1 UserDetailsService
6.2 WebSecurityConfig
七、運行程序
一、導入依賴

導入 spring-boot-starter-security 依賴，在 SpringBoot 2.0 環境下默認使用的是 5.0 版本。

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>1.3.1</version>
</dependency>

<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>

 

二、創建數據庫

一般權限控制有三層，即：用戶<–>角色<–>權限，用戶與角色是多對多，角色和權限也是多對多。這里我們先暫時不考慮權限，只考慮用戶<–>角色。

創建用戶表sys_user：

CREATE TABLE `sys_user` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`name` varchar(255) NOT NULL,
`password` varchar(255) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

　　

創建權限表sys_role：

CREATE TABLE `sys_role` (
`id` int(11) NOT NULL,
`name` varchar(255) NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

　　

創建用戶-角色表sys_user_role：

CREATE TABLE `sys_user_role` (
`user_id` int(11) NOT NULL,
`role_id` int(11) NOT NULL,
PRIMARY KEY (`user_id`,`role_id`),
KEY `fk_role_id` (`role_id`),
CONSTRAINT `fk_role_id` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE,
CONSTRAINT `fk_user_id` FOREIGN KEY (`user_id`) REFERENCES `sys_user` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

　　

初始化一下數據：

INSERT INTO `sys_role` VALUES ('1', 'ROLE_ADMIN');
INSERT INTO `sys_role` VALUES ('2', 'ROLE_USER');

INSERT INTO `sys_user` VALUES ('1', 'admin', '123');
INSERT INTO `sys_user` VALUES ('2', 'jitwxs', '123');

INSERT INTO `sys_user_role` VALUES ('1', '1');
INSERT INTO `sys_user_role` VALUES ('2', '2');

　　

博主有話說：

這里的權限格式為ROLE_XXX，是Spring Security規定的，不要亂起名字哦。
三、准備頁面

因為是示例程序，頁面越簡單越好，只用於登陸的login.html以及用於登陸成功后的home.html，將其放置在 resources/static 目錄下：

(1)login.html：

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登陸</title>
</head>
<body>
<h1>登陸</h1>
<form method="post" action="/login">
<div>
用戶名：<input type="text" name="username">
</div>
<div>
密碼：<input type="password" name="password">
</div>
<div>
<button type="submit">立即登陸</button>
</div>
</form>
</body>
</html>

 

博主有話說：

用戶的登陸認證是由Spring Security進行處理的，請求路徑默認為/login，用戶名字段默認為username，密碼字段默認為password
(2)home.html：

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>登陸成功</h1>
<a href="/admin">檢測ROLE_ADMIN角色</a>
<a href="/user">檢測ROLE_USER角色</a>
<button onclick="window.location.href='/logout'">退出登錄</button>
</body>
</html>

 

四、配置application.properties

在配置文件中配置下數據庫連接：

spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=utf-8&useSSL=true
spring.datasource.username=root
spring.datasource.password=root

#開啟Mybatis下划線命名轉駝峰命名
mybatis.configuration.map-underscore-to-camel-case=true

五、創建實體、Dao、Service和Controller

5.1 實體

(1)SysUser

public class SysUser implements Serializable{
static final long serialVersionUID = 1L;

private Integer id;

private String name;

private String password;

// 省略getter/setter
}

 

(2)SysRole

public class SysRole implements Serializable {
static final long serialVersionUID = 1L;

private Integer id;

private String name;

// 省略getter/setter
}

 

(3)SysUserRole

public class SysUserRole implements Serializable {
static final long serialVersionUID = 1L;

private Integer userId;

private Integer roleId;

// 省略getter/setter
}

 

5.2 Dao

(1)SysUserMapper

@Mapper
public interface SysUserMapper {
@Select("SELECT * FROM sys_user WHERE id = #{id}")
SysUser selectById(Integer id);

@Select("SELECT * FROM sys_user WHERE name = #{name}")
SysUser selectByName(String name);
}

　　

(2)SysRoleMapper

@Mapper
public interface SysRoleMapper {
@Select("SELECT * FROM sys_role WHERE id = #{id}")
SysRole selectById(Integer id);
}

　　

(3)SysUserRoleMapper

@Mapper
public interface SysUserRoleMapper {
@Select("SELECT * FROM sys_user_role WHERE user_id = #{userId}")
List<SysUserRole> listByUserId(Integer userId);
}

 

5.3 Service

(1)SysUserService

@Service
public class SysUserService {
@Autowired
private SysUserMapper userMapper;

public SysUser selectById(Integer id) {
return userMapper.selectById(id);
}

public SysUser selectByName(String name) {
return userMapper.selectByName(name);
}
}

 

(2)SysRoleService

@Service
public class SysRoleService {
@Autowired
private SysRoleMapper roleMapper;

public SysRole selectById(Integer id){
return roleMapper.selectById(id);
}
}

 

(3)SysUserRoleService

@Service
public class SysUserRoleService {
@Autowired
private SysUserRoleMapper userRoleMapper;

public List<SysUserRole> listByUserId(Integer userId) {
return userRoleMapper.listByUserId(userId);
}
}

 

5.4 Controller

@Controller
public class LoginController {
private Logger logger = LoggerFactory.getLogger(LoginController.class);

@RequestMapping("/")
public String showHome() {
String name = SecurityContextHolder.getContext().getAuthentication().getName();
logger.info("當前登陸用戶：" + name);

return "home.html";
}

@RequestMapping("/login")
public String showLogin() {
return "login.html";
}

@RequestMapping("/admin")
@ResponseBody
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String printAdmin() {
return "如果你看見這句話，說明你有ROLE_ADMIN角色";
}

@RequestMapping("/user")
@ResponseBody
@PreAuthorize("hasRole('ROLE_USER')")
public String printUser() {
return "如果你看見這句話，說明你有ROLE_USER角色";
}
}

　　

博主有話說：

如代碼所示，獲取當前登錄用戶：SecurityContextHolder.getContext().getAuthentication()
@PreAuthorize 用於判斷用戶是否有指定權限，沒有就不能訪問
六、配置SpringSecurity

6.1 UserDetailsService

首先我們需要自定義 UserDetailsService ，將用戶信息和權限注入進來。

我們需要重寫 loadUserByUsername 方法，參數是用戶輸入的用戶名。返回值是UserDetails，這是一個接口，一般使用它的子類org.springframework.security.core.userdetails.User，它有三個參數，分別是用戶名、密碼和權限集。

實際情況下，大多將 DAO 中的 User 類繼承 org.springframework.security.core.userdetails.User 返回。

@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private SysUserService userService;

@Autowired
private SysRoleService roleService;

@Autowired
private SysUserRoleService userRoleService;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
Collection<GrantedAuthority> authorities = new ArrayList<>();
// 從數據庫中取出用戶信息
SysUser user = userService.selectByName(username);

// 判斷用戶是否存在
if(user == null) {
throw new UsernameNotFoundException("用戶名不存在");
}

// 添加權限
List<SysUserRole> userRoles = userRoleService.listByUserId(user.getId());
for (SysUserRole userRole : userRoles) {
SysRole role = roleService.selectById(userRole.getRoleId());
authorities.add(new SimpleGrantedAuthority(role.getName()));
}

// 返回UserDetails實現類
return new User(user.getName(), user.getPassword(), authorities);
}
}

　　

6.2 WebSecurityConfig

該類是 Spring Security 的配置類，該類的三個注解分別是標識該類是配置類、開啟 Security 服務、開啟全局 Securtiy 注解。

首先將我們自定義的 userDetailsService 注入進來，在 configure() 方法中使用 auth.userDetailsService() 方法替換掉默認的 userDetailsService。

這里我們還指定了密碼的加密方式（5.0 版本強制要求設置），因為我們數據庫是明文存儲的，所以明文返回即可，如下所示：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomUserDetailsService userDetailsService;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder() {
@Override
public String encode(CharSequence charSequence) {
return charSequence.toString();
}

@Override
public boolean matches(CharSequence charSequence, String s) {
return s.equals(charSequence.toString());
}
});
}

@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
// 如果有允許匿名的url，填在下面
// .antMatchers().permitAll()
.anyRequest().authenticated()
.and()
// 設置登陸頁
.formLogin().loginPage("/login")
// 設置登陸成功頁
.defaultSuccessUrl("/").permitAll()
// 自定義登陸用戶名和密碼參數，默認為username和password
// .usernameParameter("username")
// .passwordParameter("password")
.and()
.logout().permitAll();

// 關閉CSRF跨域
http.csrf().disable();
}

@Override
public void configure(WebSecurity web) throws Exception {
// 設置攔截忽略文件夾，可以對靜態資源放行
web.ignoring().antMatchers("/css/**", "/js/**");
}
}

　　

 

七、運行程序

ROLE_ADMIN 賬戶：用戶名 admin，密碼 123
ROLE_USER 賬戶：用戶名 jitwxs，密碼 123

注：如果你想要將密碼加密，可以修改 configure() 方法如下：

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService)
.passwordEncoder(new BCryptPasswordEncoder());
}

 

---------------------
作者：Jitwxs
來源：CSDN
原文：https://blog.csdn.net/yuanlaijike/article/details/80249235
版權聲明：本文為博主原創文章，轉載請附上博文鏈接！