詳解Spring?Security怎么從數(shù)據(jù)庫加載我們的用戶

更新時間：2023年01月04日 09:54:24 作者：bangiao

這篇文章主要為大家介紹了Spring?Security怎么從數(shù)據(jù)庫加載我們的用戶示例詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步，早日升職加薪

本章內容

如何從數(shù)據(jù)庫中讀取用戶對象
源碼分析

如何從數(shù)據(jù)庫中讀取用戶對象？

1前面我們分析認證的時候就會發(fā)現(xiàn)他在DaoAuthenticationProvider中就已經有從數(shù)據(jù)庫中獲取用戶名和密碼的。

public interface UserDetailsService {
   UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

意思是說我們只要重寫這個類，就可以從我們所想要的地方獲取用戶信息。

那我們重寫吧

public class MybatisUserDetailsService implements UserDetailsService, UserDetailsPasswordService {
	@Resource
	private UsersMapper usersMapper;
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		Users users = usersMapper.loadUserByUsername(username);
		if (null == users) {
			throw new UsernameNotFoundException(username);
		}
		return users;
	}
	@Override
	public UserDetails updatePassword(UserDetails user, String newPassword) {
		if (user instanceof Users users) {
			users.setPassword(newPassword);
			usersMapper.updateByPrimaryKeySelective(users);
		}
		return user;
	}
}

發(fā)現(xiàn)這里需要把spring security的users對象轉換成我們所需要的users對象。比較麻煩。

小白: "為什么不直接使用spring security那里面的users對象呢？"

小黑: "我們自己實現(xiàn)users對象的話就可以在自定義。特別是權限這邊，我們肯定是需要自定義users對象的，不能直接使用其內部的對象。"

然后我們直接繼承UserDetails接口，然后自定義一些我們所需要的屬性。說白了就是從內置users對象中拷貝一些代碼出來。

小黑: "這里我故意留下了一個坑，如果你真的從內置的users對象里的話，你會發(fā)現(xiàn)一個問題。"

@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
public class Users implements Serializable, UserDetails {
    private Long id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean accountnonexpired;
    private Boolean accountnonlocked;
    private Boolean credentialsnonexpired;
    private List<Roles> rolesList;
    private static final long serialVersionUID = 1L;
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        ArrayList<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Roles roles : getRolesList()) {
            authorities.add(new SimpleGrantedAuthority(roles.getRole()));
        }
        return authorities;
    }
    @Override
    public boolean isAccountNonExpired() {
        return accountnonexpired;
    }
    @Override
    public boolean isAccountNonLocked() {
        return accountnonlocked;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsnonexpired;
    }
    @Override
    public boolean isEnabled() {
        return enabled;
    }
}

小白: "代碼定義好了，但現(xiàn)在你要怎么加入到spring security中呢？讓spring security主動調用我們自定義的類呢？"

小黑: "我們要使用自定義的類的話，無非是在DaoAuthenticationProvider里面設置。所以我們只要找到setUserDetailsService這個函數(shù)就行了?？匆幌掠心男┓椒ㄕ{用了這個函數(shù)？"

看了一下發(fā)現(xiàn)這邊調用了setUserDetailsService方法的。前面的UserDetailsService是對象是通過spring bean上下文面拿出來的。

那我們也可以效仿他的方式，在spring bean上添加我們的UserDetailsService Bean。

@Bean
public UserDetailsService userDetailsService() {
   return new MybatisUserDetailsService();
}

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
   return httpSecurity.authorizeHttpRequests()
         .anyRequest().authenticated()
         .and()
         .formLogin()
         .defaultSuccessUrl("/hello", true) // 認證成功后訪問
         .permitAll() // 白名單
         .and()
         .logout()
         .logoutUrl("/logout")
         .logoutSuccessUrl("/login") // 注銷成功后訪問
         .clearAuthentication(true)
         .invalidateHttpSession(true)
         .and()
         .build();
}

@GetMapping("hello")
public HashMap<String, Object> hello(Authentication authentication) {
   HashMap<String, Object> map = new HashMap<>();
   Object principal = authentication.getPrincipal();
   String name = authentication.getName();
   map.put("principal", principal);
   map.put("name", name);
   return map;
}

小白: "停一下, 你數(shù)據(jù)庫表結構呢? "

小黑: "我忘了, 我找找在哪可以抄"

在分析UserDetailsService的時候, 我們一般都要看看他的類族是怎樣的, 結果發(fā)現(xiàn)可以偷懶的地方, 也就是表結構的位置

create table users(username varchar_ignorecase(50) not null primary key,password varchar_ignorecase(500) not null,enabled boolean not null);
create table authorities (username varchar_ignorecase(50) not null,authority varchar_ignorecase(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

這段sql要改改, 否則mysql無法執(zhí)行

結果發(fā)現(xiàn), 就這...

我還不如自己設計呢

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;
-- ----------------------------
-- Table structure for authorities
-- ----------------------------
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities`  (
  `username` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL,
  `authority` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL,
  UNIQUE INDEX `ix_auth_username`(`username` ASC, `authority` ASC) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;
-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users`  (
  `id` bigint NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL,
  `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL,
  `enabled` bit(1) NULL DEFAULT NULL,
  `accountNonExpired` bit(1) NULL DEFAULT b'1',
  `accountNonLocked` bit(1) NULL DEFAULT b'1',
  `credentialsNonExpired` bit(1) NULL DEFAULT b'1',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci ROW_FORMAT = Dynamic;
SET FOREIGN_KEY_CHECKS = 1;

注意, 這里僅僅只是為了玩耍, 而非企業(yè), 在企業(yè)中, 肯定不是這么設計的, 一般根據(jù) RBAC 設計

小白: "這樣就完成了?"

小黑: "完成了, 其他代碼都是mybatis生成的, 簡單"

啟動, 訪問崩了

等下, spring security脫敏呢? 為什么這里可以輸出密碼?

分析源碼看看

脫敏為什么沒有生效?

通過源碼分析,脫敏應該是認證成功之后的事情

大概看了下源碼, ProviderManager有脫敏, 但是為什么不生效呢?

看這代碼的意思, 是要我們在 Users 類上多添加一個接口CredentialsContainer

public class Users implements Serializable, UserDetails, CredentialsContainer {
	@Override
	public void eraseCredentials() {
        // 設置 password 為 null
		this.password = null;
	}
}

行, 前面的坑補上了。再試試

完美~~~

總結

記住UserDetailsService怎么自定義, 注意自定義的User需要實現(xiàn)哪些接口, 還有脫敏問題

以上就是詳解Spring Security怎么從數(shù)據(jù)庫加載我們的用戶的詳細內容，更多關于Spring Security數(shù)據(jù)庫加載用戶的資料請關注腳本之家其它相關文章！

您可能感興趣的文章:

Java實現(xiàn)簡單的銀行管理系統(tǒng)的示例代碼
這篇文章主要介紹了如何利用Java實現(xiàn)簡單的銀行管理系統(tǒng)，可以實現(xiàn)存款，取款，查詢等功能，文中的示例代碼講解詳細，感興趣的可以了解一下
2022-09-09
SpringBoot整合Docker實現(xiàn)一次構建到處運行的操作方法
本文講解的是 SpringBoot 引入容器化技術 Docker 實現(xiàn)一次構建到處運行，包括鏡像構建、Docker倉庫搭建使用、Docker倉庫可視化UI等內容,需要的朋友可以參考下
2022-10-10
Spring cloud踩坑記錄之使用feignclient遠程調用服務404的方法
這篇文章主要給大家介紹了關于Spring cloud踩坑記錄之使用feignclient遠程調用服務404的相關資料，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2018-11-11
Java系統(tǒng)運行緩慢等問題的排查思路
這篇文章主要介紹了Java系統(tǒng)運行緩慢等問題的排查思路，讀者可以根據(jù)具體情況具體分析，從而解決問題
2021-04-04
SpringMVC中文件的上傳與下載詳細解析
這篇文章主要介紹了SpringMVC中文件的上傳與下載詳細解析,在開發(fā)中有遇到文件上傳下載的功能需求,今天就來說一下前后端的實現(xiàn)和要注意的地方,需要的朋友可以參考下
2024-01-01
深度剖析Java中的內存原型及工作原理
這篇文章主要介紹了深度剖析Java中的內存原型及工作原理,本文講解了java虛擬機內存原型、常量池、Java內存分配中的棧、Java內存分配中的堆等內容,需要的朋友可以參考下
2015-01-01
Java數(shù)據(jù)結構之并查集的實現(xiàn)
并查集是一種用來管理元素分組情況的數(shù)據(jù)結構。并查集可以高效地進行如下操作。本文將通過Java實現(xiàn)并查集，感興趣的小伙伴可以了解一下
2022-01-01
spring-data-redis自定義實現(xiàn)看門狗機制
redission看門狗機制是解決分布式鎖的續(xù)約問題,本文主要介紹了spring-data-redis自定義實現(xiàn)看門狗機制,具有一定的參考價值,感興趣的可以了解一下
2024-03-03
Feign?日期格式轉換錯誤的問題
這篇文章主要介紹了Feign?日期格式轉換錯誤的問題，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2022-03-03
Java中的JetCache?實戰(zhàn)
這篇文章主要介紹了Java中的JetCache實戰(zhàn)，JetCache是一個基于Java的緩存系統(tǒng)封裝，提供統(tǒng)一的API和注解來簡化緩存的使用，下文更多相關資料需要的小伙伴可以參考一下
2022-04-04