Spring Security+Spring Data Jpa如何進(jìn)行安全管理

更新時(shí)間：2020年09月02日 15:35:41 作者：江南一點(diǎn)雨

這篇文章主要介紹了Spring Security+Spring Data Jpa如何進(jìn)行安全管理，幫助大家更好的理解和學(xué)習(xí)Spring Security框架，感興趣的朋友可以了解下

為了操作簡(jiǎn)單，我這里引入 Spring Data Jpa 來(lái)幫助我們完成數(shù)據(jù)庫(kù)操作

1.創(chuàng)建工程

首先我們創(chuàng)建一個(gè)新的 Spring Boot 工程，添加如下依賴：

注意，除了 Spring Security 依賴之外，我們還需要數(shù)據(jù)依賴和 Spring Data Jpa 依賴。

工程創(chuàng)建完成后，我們?cè)僭跀?shù)據(jù)庫(kù)中創(chuàng)建一個(gè)空的庫(kù)，就叫做 withjpa，里邊什么都不用做，這樣我們的準(zhǔn)備工作就算完成了。

2.準(zhǔn)備模型

接下來(lái)我們創(chuàng)建兩個(gè)實(shí)體類(lèi)，分別表示用戶角色了用戶類(lèi)：

用戶角色：

@Entity(name = "t_role")
public class Role {
 @Id
 @GeneratedValue(strategy = GenerationType.IDENTITY)
 private Long id;
 private String name;
 private String nameZh;
 //省略 getter/setter
}

這個(gè)實(shí)體類(lèi)用來(lái)描述用戶角色信息，有角色 id、角色名稱（英文、中文），@Entity 表示這是一個(gè)實(shí)體類(lèi)，項(xiàng)目啟動(dòng)后，將會(huì)根據(jù)實(shí)體類(lèi)的屬性在數(shù)據(jù)庫(kù)中自動(dòng)創(chuàng)建一個(gè)角色表。

用戶實(shí)體類(lèi)：

@Entity(name = "t_user")
public class User implements UserDetails {
 @Id
 @GeneratedValue(strategy = GenerationType.IDENTITY)
 private Long id;
 private String username;
 private String password;
 private boolean accountNonExpired;
 private boolean accountNonLocked;
 private boolean credentialsNonExpired;
 private boolean enabled;
 @ManyToMany(fetch = FetchType.EAGER,cascade = CascadeType.PERSIST)
 private List<Role> roles;
 @Override
 public Collection<? extends GrantedAuthority> getAuthorities() {
  List<SimpleGrantedAuthority> authorities = new ArrayList<>();
  for (Role role : getRoles()) {
   authorities.add(new SimpleGrantedAuthority(role.getName()));
  }
  return authorities;
 }
 @Override
 public String getPassword() {
  return password;
 }

 @Override
 public String getUsername() {
  return username;
 }

 @Override
 public boolean isAccountNonExpired() {
  return accountNonExpired;
 }

 @Override
 public boolean isAccountNonLocked() {
  return accountNonLocked;
 }

 @Override
 public boolean isCredentialsNonExpired() {
  return credentialsNonExpired;
 }

 @Override
 public boolean isEnabled() {
  return enabled;
 }
 //省略其他 get/set 方法
}

用戶實(shí)體類(lèi)主要需要實(shí)現(xiàn) UserDetails 接口，并實(shí)現(xiàn)接口中的方法。

這里的字段基本都好理解，幾個(gè)特殊的我來(lái)稍微說(shuō)一下：

accountNonExpired、accountNonLocked、credentialsNonExpired、enabled 這四個(gè)屬性分別用來(lái)描述用戶的狀態(tài)，表示賬戶是否沒(méi)有過(guò)期、賬戶是否沒(méi)有被鎖定、密碼是否沒(méi)有過(guò)期、以及賬戶是否可用。
roles 屬性表示用戶的角色，User 和 Role 是多對(duì)多關(guān)系，用一個(gè) @ManyToMany 注解來(lái)描述。
getAuthorities 方法返回用戶的角色信息，我們?cè)谶@個(gè)方法中把自己的 Role 稍微轉(zhuǎn)化一下即可。

3.配置

數(shù)據(jù)模型準(zhǔn)備好之后，我們?cè)賮?lái)定義一個(gè) UserDao：

public interface UserDao extends JpaRepository<User,Long> {
 User findUserByUsername(String username);
}

這里的東西很簡(jiǎn)單，我們只需要繼承 JpaRepository 然后提供一個(gè)根據(jù) username 查詢 user 的方法即可。

在接下來(lái)定義 UserService ，如下：

@Service
public class UserService implements UserDetailsService {
 @Autowired
 UserDao userDao;
 @Override
 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  User user = userDao.findUserByUsername(username);
  if (user == null) {
   throw new UsernameNotFoundException("用戶不存在");
  }
  return user;
 }
}

我們自己定義的 UserService 需要實(shí)現(xiàn) UserDetailsService 接口，實(shí)現(xiàn)該接口，就要實(shí)現(xiàn)接口中的方法，也就是 loadUserByUsername ，這個(gè)方法的參數(shù)就是用戶在登錄的時(shí)候傳入的用戶名，根據(jù)用戶名去查詢用戶信息（查出來(lái)之后，系統(tǒng)會(huì)自動(dòng)進(jìn)行密碼比對(duì)）。

配置完成后，接下來(lái)我們?cè)?Spring Security 中稍作配置，Spring Security 和測(cè)試用的 HelloController 我還是沿用之前文章中的（Spring Security 如何將用戶數(shù)據(jù)存入數(shù)據(jù)庫(kù)？），主要列出來(lái)需要修改的地方。

在 SecurityConfig 中，我們通過(guò)如下方式來(lái)配置用戶：

@Autowired
UserService userService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 auth.userDetailsService(userService);
}

大家注意，還是重寫(xiě) configure 方法，只不過(guò)這次我們不是基于內(nèi)存，也不是基于 JdbcUserDetailsManager，而是使用自定義的 UserService，就這樣配置就 OK 了。

最后，我們?cè)僭?application.properties 中配置一下數(shù)據(jù)庫(kù)和 JPA 的基本信息，如下：

spring.datasource.username=root
spring.datasource.password=123
spring.datasource.url=jdbc:mysql:///withjpa?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai

spring.jpa.database=mysql
spring.jpa.database-platform=mysql
spring.jpa.hibernate.ddl-auto=update
spring.jpa.show-sql=true
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL8Dialect

都是常規(guī)配置，我們就不再重復(fù)解釋了。

這一套組合拳下來(lái)，我們的 Spring Security 就算是接入數(shù)據(jù)庫(kù)了，接下來(lái)我們來(lái)進(jìn)行測(cè)試

4.測(cè)試

首先我們來(lái)添加兩條測(cè)試數(shù)據(jù)，在單元測(cè)試中添加如下方法：

@Autowired
UserDao userDao;
@Test
void contextLoads() {
 User u1 = new User();
 u1.setUsername("javaboy");
 u1.setPassword("123");
 u1.setAccountNonExpired(true);
 u1.setAccountNonLocked(true);
 u1.setCredentialsNonExpired(true);
 u1.setEnabled(true);
 List<Role> rs1 = new ArrayList<>();
 Role r1 = new Role();
 r1.setName("ROLE_admin");
 r1.setNameZh("管理員");
 rs1.add(r1);
 u1.setRoles(rs1);
 userDao.save(u1);
 User u2 = new User();
 u2.setUsername("江南一點(diǎn)雨");
 u2.setPassword("123");
 u2.setAccountNonExpired(true);
 u2.setAccountNonLocked(true);
 u2.setCredentialsNonExpired(true);
 u2.setEnabled(true);
 List<Role> rs2 = new ArrayList<>();
 Role r2 = new Role();
 r2.setName("ROLE_user");
 r2.setNameZh("普通用戶");
 rs2.add(r2);
 u2.setRoles(rs2);
 userDao.save(u2);
}

運(yùn)行該方法后，我們會(huì)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中多了三張表：