前面使用了xml配置文件实现了spring security的登陆的用户验证。然而用户密码这些信息不可能是固定的,我们需要向项目中添加或删除账户,每次都修改配置文件显然是不恰当的,那么我们就需要使用数据库表来保存账户信息,这样才能方便程序对账户进行添加和删除。该示例并不使用太复杂的权限管理,不涉及用户、角色、资源等复杂的关系,仅仅使用数据库来代替了使用配置文件配置的authentication-provider,使用了一个数据库表来存储账户的用户名、密码和角色信息。
数据库表:sec_user
create table sec_user(
username varchar(100) primary key,
password varchar(255),
role varchar(100)
);
插入数据:
insert into sec_user values('admin','admin','ROLE_USER,ROLE_ADMIN');
insert into sec_user values('test','test','ROLE_USER');
要使用数据库需要自定义一个UserDetailsService的实现类,该接口有一个方法:
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException, DataAccessException {
return null;
}
由该方法看到该方法返回一个UserDetails的对象,UserDetails是一个接口,那么这个接口该如何实现呢?答案很简单,使用我们数据库表对应的实体类来实现这个接口就行了。下面看一下实现:
MyUserDetailService.java
@Service("myUserDetailService")
public class MyUserDetailService implements UserDetailsService {
@Autowired
private UserDao userDao;
public UserDao getUserDao() {
return userDao;
}
public void setUserDao(UserDao userDao) {
this.userDao = userDao;
}
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException, DataAccessException {
User user = this.userDao.findByUsername(username);
return user;
}
}
我采用注解的方法将userDao注入进来,userDao中有一个通过用户名查找用户信息的方法findByUsername。
UserDaoImpl.java
@Repository("userDao")
public class UserDaoImpl extends HibernateDaoSupport implements UserDao {
@Autowired
public void setSessionFactory0(SessionFactory sessionFactory) {
super.setSessionFactory(sessionFactory);
}
public User findByUsername(String username) {
return this.getHibernateTemplate().get(User.class, username);
}
}
UserDao接口的实现类,实现了findByUsername方法供loadUserByUsername方法调用。
User.java
@Entity
@Table(name="SEC_USER")
public class User implements Serializable,UserDetails {
/**
*
*/
private static final long serialVersionUID = 1L;
@Id
@Column(name="USERNAME",unique=true,nullable=false)
private String username;
@Column(name="PASSWORD")
private String password;
@Column(name="ROLE")
private String role;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
public String getRole() {
return role;
}
public void setRole(String role) {
this.role = role;
}
public Collection<GrantedAuthority> getAuthorities() {
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
//数据库中使用了逗号作为角色名的分隔符
String[] roles = this.role.split(",");
for(String r : roles){
if(r != null && !"".equals(r)){
GrantedAuthority authority = new GrantedAuthorityImpl(r);
authorities.add(authority);
}
}
return authorities;
}
public boolean isAccountNonExpired() {
return true;
}
public boolean isAccountNonLocked() {
return true;
}
public boolean isCredentialsNonExpired() {
return true;
}
public boolean isEnabled() {
return true;
}
}
代码中getAuthorities和四个is***方法是UserDetails接口需要实现的方法,四个is***方法都需要返回为true账户才能使用。getAuthorities返回该账户所拥有的角色。
applicationContext-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<http auto-config="true">
<intercept-url pattern="/login.html" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-url pattern="/resources/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-url pattern="/**" access="ROLE_USER"/>
<form-login login-page="/login.html" default-target-url="/index.html"/>
</http>
<authentication-manager>
<authentication-provider user-service-ref="myUserDetailService">
</authentication-provider>
</authentication-manager>
</beans:beans>
这里authentication-provider使用了我们自定义的UserDetailService的实现类myUserDetailService。
现在spring security就可以工作了,当我们访问项目的某一个页面时,都会首先跳转到登陆页面login.html,登陆成功后进入index.html页面。
分享到:
相关推荐
以下是一个简单的示例代码,演示如何使用 Spring Security 基于数据库中账户密码认证。 新建一个 JavaWeb 工程,导入相关依赖,pom 文件的内容如下: pom 文件 ``` <modelVersion>4.0.0 <groupId>...
这个SQL文件包含了数据库的结构和初始数据,可能是预先设计好的表和数据,用于初始化项目所需的安全相关数据,如用户账户、角色等。开发者可以通过导入这个SQL文件来设置好项目的基础数据环境。 综上所述,这个项目...
- 解释如何修改Spring Security的配置文件来集成数据库,以实现动态化的权限管理。 - **2.2 数据库表结构** - 详细介绍用于存储用户信息及权限的数据库表的设计方案,包括必要的字段及其含义。 **3. 自定义...
2. **身份验证配置**:通常我们会使用 `UserDetailsService` 接口来加载用户信息,结合数据库中的 "security" 表进行用户登录验证。`AuthenticationProvider` 负责处理具体的验证逻辑,如密码匹配。 3. **授权配置*...
6. **角色和权限**:SpringSecurity支持基于角色的访问控制(RBAC),可以为用户分配角色,并定义哪些URL或资源对应哪些角色,从而实现权限控制。 7. **自定义逻辑**:除了基本的配置,开发者还可以根据需求编写...
在这个项目中,Spring Security会被配置为使用JWT进行身份验证。首先,我们需要创建一个自定义的`AuthenticationProvider`,负责验证用户的凭证。接着,当用户成功登录后,我们将在`AuthenticationSuccessHandler`中...
MySQL是一款广泛使用的开源关系型数据库管理系统,用于存储应用程序的数据。在本项目中,MySQL可能存储用户账户信息、权限设置以及其他业务数据。MyBatis将帮助我们与MySQL进行交互。 6. **MyBatis**: MyBatis是...
Spring Security 是一个强大的安全框架,用于管理Web应用的认证和授权。在Spring Security中,`UserDetails` 是一个核心概念,它代表了系统的用户信息。本文将深入探讨`UserDetails`的实现原理,并通过示例代码进行...
总结来说,Spring Security JDBC提供了一种灵活的方式来管理和验证用户账户,以及执行基于角色的访问控制。通过结合使用JDBC和数据库,我们可以构建安全、可扩展的身份验证和授权系统。理解并熟练掌握Spring ...
例如,可以使用Spring Security的FilterSecurityInterceptor来检查每个请求的权限。 在数据层,Hibernate可以用来管理用户账户信息,如用户名、密码哈希等。Spring Security可以与Hibernate配合,通过...
Spring Security 3.0 开始引入OAuth支持,允许与其他OAuth提供者进行集成,实现了社交登录等功能,比如通过Google、Facebook账户登录。 6. **AOP(面向切面编程)安全**: 2.0 和 3.0 都支持AOP,可以对方法级别...
Spring Security可以连接到MySQL数据库,查询用户账户信息,比较输入的凭证是否匹配。如果验证成功,Spring Security会创建一个认证对象,存储在SecurityContextHolder中,以标识当前登录的用户。 接下来,Spring ...
在部署和使用这个源码工程时,你需要先在数据库中创建相应的表,这些表用于存储用户信息、权限和角色关系。SpringSecurity通常依赖于`users`、`authorities`和`sessions`等表,具体结构可以参考官方文档。 通过深入...
2. **手机号登录**:为了适应移动互联网的需求,Spring Security可以通过扩展实现短信验证码或直接使用手机号作为身份验证的凭证。这通常涉及到与短信服务提供商的集成,以及对手机号的验证逻辑。 3. **邮箱登录**...
本篇主要讨论如何使用Spring Security 将用户数据存入数据库,以便更好地理解和应用这个框架。 首先,Spring Security 提供了 `UserDetailsService` 接口,该接口是连接数据源与安全机制的关键。它允许我们从不同的...