Spring Security+Spring Data Jpa如何进行安全管理
为了操作简单,我这里引入 spring data jpa 来帮助我们完成数据库操作
1.创建工程
首先我们创建一个新的 spring boot 工程,添加如下依赖:
注意,除了 spring security 依赖之外,我们还需要数据依赖和 spring data jpa 依赖。
工程创建完成后,我们再在数据库中创建一个空的库,就叫做 withjpa,里边什么都不用做,这样我们的准备工作就算完成了。
2.准备模型
接下来我们创建两个实体类,分别表示用户角色了用户类:
用户角色:
@entity(name = "t_role")
public class role {
@id
@generatedvalue(strategy = generationtype.identity)
private long id;
private string name;
private string namezh;
//省略 getter/setter
}
这个实体类用来描述用户角色信息,有角色 id、角色名称(英文、中文),@entity 表示这是一个实体类,项目启动后,将会根据实体类的属性在数据库中自动创建一个角色表。
用户实体类:
@entity(name = "t_user")
public class user implements userdetails {
@id
@generatedvalue(strategy = generationtype.identity)
private long id;
private string username;
private string password;
private boolean accountnonexpired;
private boolean accountnonlocked;
private boolean credentialsnonexpired;
private boolean enabled;
@manytomany(fetch = fetchtype.eager,cascade = cascadetype.persist)
private list<role> roles;
@override
public collection<? extends grantedauthority> getauthorities() {
list<simplegrantedauthority> authorities = new arraylist<>();
for (role role : getroles()) {
authorities.add(new simplegrantedauthority(role.getname()));
}
return authorities;
}
@override
public string getpassword() {
return password;
}
@override
public string getusername() {
return username;
}
@override
public boolean isaccountnonexpired() {
return accountnonexpired;
}
@override
public boolean isaccountnonlocked() {
return accountnonlocked;
}
@override
public boolean iscredentialsnonexpired() {
return credentialsnonexpired;
}
@override
public boolean isenabled() {
return enabled;
}
//省略其他 get/set 方法
}
用户实体类主要需要实现 userdetails 接口,并实现接口中的方法。
这里的字段基本都好理解,几个特殊的我来稍微说一下:
- accountnonexpired、accountnonlocked、credentialsnonexpired、enabled 这四个属性分别用来描述用户的状态,表示账户是否没有过期、账户是否没有被锁定、密码是否没有过期、以及账户是否可用。
- roles 属性表示用户的角色,user 和 role 是多对多关系,用一个 @manytomany 注解来描述。
- getauthorities 方法返回用户的角色信息,我们在这个方法中把自己的 role 稍微转化一下即可。
3.配置
数据模型准备好之后,我们再来定义一个 userdao:
public interface userdao extends jparepository<user,long> {
user finduserbyusername(string username);
}
这里的东西很简单,我们只需要继承 jparepository 然后提供一个根据 username 查询 user 的方法即可。
在接下来定义 userservice ,如下:
@service
public class userservice implements userdetailsservice {
@autowired
userdao userdao;
@override
public userdetails loaduserbyusername(string username) throws usernamenotfoundexception {
user user = userdao.finduserbyusername(username);
if (user == null) {
throw new usernamenotfoundexception("用户不存在");
}
return user;
}
}
我们自己定义的 userservice 需要实现 userdetailsservice 接口,实现该接口,就要实现接口中的方法,也就是 loaduserbyusername ,这个方法的参数就是用户在登录的时候传入的用户名,根据用户名去查询用户信息(查出来之后,系统会自动进行密码比对)。
配置完成后,接下来我们在 spring security 中稍作配置,spring security 和测试用的 hellocontroller 我还是沿用之前文章中的(spring security 如何将用户数据存入数据库?),主要列出来需要修改的地方。
在 securityconfig 中,我们通过如下方式来配置用户:
@autowired
userservice userservice;
@override
protected void configure(authenticationmanagerbuilder auth) throws exception {
auth.userdetailsservice(userservice);
}
大家注意,还是重写 configure 方法,只不过这次我们不是基于内存,也不是基于 jdbcuserdetailsmanager,而是使用自定义的 userservice,就这样配置就 ok 了。
最后,我们再在 application.properties 中配置一下数据库和 jpa 的基本信息,如下:
spring.datasource.username=root spring.datasource.password=123 spring.datasource.url=jdbc:mysql:///withjpa?useunicode=true&characterencoding=utf-8&servertimezone=asia/shanghai spring.jpa.database=mysql spring.jpa.database-platform=mysql spring.jpa.hibernate.ddl-auto=update spring.jpa.show-sql=true spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.mysql8dialect
都是常规配置,我们就不再重复解释了。
这一套组合拳下来,我们的 spring security 就算是接入数据库了,接下来我们来进行测试
4.测试
首先我们来添加两条测试数据,在单元测试中添加如下方法:
@autowired
userdao userdao;
@test
void contextloads() {
user u1 = new user();
u1.setusername("javaboy");
u1.setpassword("123");
u1.setaccountnonexpired(true);
u1.setaccountnonlocked(true);
u1.setcredentialsnonexpired(true);
u1.setenabled(true);
list<role> rs1 = new arraylist<>();
role r1 = new role();
r1.setname("role_admin");
r1.setnamezh("管理员");
rs1.add(r1);
u1.setroles(rs1);
userdao.save(u1);
user u2 = new user();
u2.setusername("江南一点雨");
u2.setpassword("123");
u2.setaccountnonexpired(true);
u2.setaccountnonlocked(true);
u2.setcredentialsnonexpired(true);
u2.setenabled(true);
list<role> rs2 = new arraylist<>();
role r2 = new role();
r2.setname("role_user");
r2.setnamezh("普通用户");
rs2.add(r2);
u2.setroles(rs2);
userdao.save(u2);
}
运行该方法后,我们会发现数据库中多了三张表:
这就是根据我们的实体类自动创建出来的。
我们来查看一下表中的数据。
用户表:
角色表:
用户和角色关联表:
有了数据,接下来启动项目,我们来进行测试。
我们首先以 江南一点雨的身份进行登录:
登录成功后,分别访问 /hello,/admin/hello 以及 /user/hello 三个接口,其中:
- /hello 因为登录后就可以访问,这个接口访问成功。
- /admin/hello 需要 admin 身份,所以访问失败。
- /user/hello 需要 user 身份,所以访问成功。
具体测试效果小伙伴们可以参考松哥的视频,我就不截图了。
在测试的过程中,如果在数据库中将用户的 enabled 属性设置为 false,表示禁用该账户,此时再使用该账户登录就会登录失败。
按照相同的方式,大家也可以测试 javaboy 用户。
好了,今天就和小伙伴们说这么多.
以上就是spring security+spring data jpa如何进行安全管理的详细内容,更多关于spring security+spring data jpa 安全管理的资料请关注其它相关文章!
上一篇: js作用域和作用域链及预解析