很多人覺得Spring Security實現登錄驗證很難,我最開始學習的時候也這樣覺得。因為我好久都沒看懂我該怎麼樣將自己寫的用於接收用戶名密碼的Controller與Spring Security結合使用,這是一個先入為主的誤區。後來我搞懂了:根本不用你自己去寫Controller。你只需要告訴Spring Security用戶信息、角色信息、權限信息、登錄頁是什麼?登陸成功頁是什麼?或者其他有關登錄的一切信息。具體的登錄驗證邏輯它來幫你實現。
一、動態數據登錄驗證的基礎知識
在本號之前的文章中,已經介紹了Spring Security的formLogin登錄認證模式,RBAC的權限控制管理模型,並且針對Spring Security的登錄認證邏輯源碼進行了解析等等。我們所有的用戶、角色、權限信息都是在配置文件裏面寫死的,然而在實際的業務系統中,這些信息通常是存放在RBAC權限模型的數據庫表中的。下面我們來回顧一下其中的核心概念:
- RBAC的權限模型可以從用戶獲取為用戶分配的一個或多個角色,從用戶的角色又可以獲取該角色的多種權限。通過關聯查詢可以獲取某個用戶的角色信息和權限信息。
- 在源碼解析的文章中,我們知道如果我們不希望用戶、角色、權限信息寫死在配置裏面。我們應該實現UserDetails與UserDetailsService接口,從而從數據庫或者其他的存儲上動態的加載這些信息。
以上是對一些核心的基礎知識的總結,如果您對這些知識還不是很清晰,建議您先往下讀本文。如果看完本文仍然理解困難,建議您翻看本號之前的文章。
二、UserDetails與UserDetailsService接口
- UserDetailsService接口有一個方法叫做loadUserByUsername,我們實現動態加載用戶、角色、權限信息就是通過實現該方法。函數見名知義:通過用戶名加載用戶。該方法的返回值就是UserDetails。
- UserDetails就是用戶信息,即:用戶名、密碼、該用戶所具有的權限。
下面我們來看一下UserDetails接口都有哪些方法。
public interface UserDetails extends Serializable {
//獲取用戶的權限集合
Collection<? extends GrantedAuthority> getAuthorities();
//獲取密碼
String getPassword();
//獲取用戶名
String getUsername();
//賬號是否沒過期
boolean isAccountNonExpired();
//賬號是否沒被鎖定
boolean isAccountNonLocked();
//密碼是否沒過期
boolean isCredentialsNonExpired();
//賬戶是否可用
boolean isEnabled();
}現在,我們明白了,只要我們把這些信息提供給Spring Security,Spring Security就知道怎麼做登錄驗證了,根本不需要我們自己寫Controller實現登錄驗證邏輯。
三、實現UserDetails 接口
public class SysUser implements UserDetails{
String password(); //密碼
String username(); //用戶名
boolean accountNonExpired; //是否沒過期
boolean accountNonLocked; //是否沒被鎖定
boolean credentialsNonExpired; //是否沒過期
boolean enabled; //賬號是否可用
Collection<? extends GrantedAuthority> authorities; //用戶的權限集合
//省略構造方法
//省略set方法
//省略get方法(即接口UserDetails的方法)
}我們就是寫了一個適應於UserDetails的java POJO類,所謂的 UserDetails接口實現就是一些get方法。get方法由Spring Security調用,我們通過set方法或構造函數為 Spring Security提供UserDetails數據。
四、實現UserDetailsService接口
@Component
public class MyUserDetailsService implements UserDetailsService{
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//這裏從數據庫sys_user表裡面查詢實體類對象。loadUser方法可使用Mybatis或JDBC或JPA自行實現。
SysUser sysUser = loadUser(username);
// 判斷用戶是否存在
if(user == null) { throw new UsernameNotFoundException("用戶名不存在"); }
//從數據庫該用戶所有的角色信息,所有的權限標誌
//遍歷所有的ROLE角色及所有的Authority權限(菜單、按鈕)。
//用逗號分隔他們的唯一標誌,具體過程自行實現。
sysUser.setAuthorities(
AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_AMIN , system:user:delete"));
//sysUser.setAccountNonLocked(true或false);
return sysUser;
}
}
- 通常數據庫表sys_user字段要和SysUser屬性一一對應,比如username、password、enabled。但是比如accountNonLocked字段用於登錄多次錯誤鎖定,但我們一般不會在表裡存是否鎖定,而是存一個鎖定時間字段。通過鎖定時間是否大於當前時間判斷賬號是否鎖定,所以實現過程中可以靈活做判斷並用好set方法,不必拘泥於一一對應的形式。
- 角色是一種特殊的權限,在Spring Security我們可以使用hasRole(角色標識)表達式判斷用戶是否具有某個角色,決定他是否可以做某個操作;通過hasAuthority(權限標識)表達式判斷是否具有某個操作權限。
五、最後說明
至此,我們將系統裏面的所有的用戶、角色、權限信息都通過UserDetailsService和UserDetails告知了Spring Security。但是多數朋友可能仍然不知道該怎樣實現登錄的功能,其實剩下的事情很簡單了:
- 寫一個登錄界面,寫一個登錄表單,表單使用post方法提交到默認的/login路徑
- 表單的用戶名、密碼字段名稱默認是username、password。
- 寫一個登錄成功之後的跳轉頁面,比如index.html
然後把這些信息通過配置方式告知Spring Security ,以上的配置信息名稱都可以靈活修改。如果您不知道如何配置請參考本號之前的文章《formLogin登錄認證模式》。
期待您的關注
- 向您推薦博主的系列文檔:
- 本文轉載註明出處(必須帶連接,不能只轉文字):。
本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理【其他文章推薦】
※高價收購3C產品,價格不怕你比較
※如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!
※網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!
※想知道最厲害的台北網頁設計公司推薦、台中網頁設計公司推薦專業設計師”嚨底家”!!