怎么在SpringSecurity中動態加載用戶角色權限
怎么在SpringSecurity中動態加載用戶角色權限����?相信很多沒有經驗的人對此束手無策���,為此本文總結了問題出現的原因和解決方法�,通過這篇文章希望你能解決這個問題�。
一����、動態數據登錄驗證的基礎知識
在本號之前的文章中����,已經介紹了Spring Security的formLogin登錄認證模式��,RBAC的權限控制管理模型��,并且針對Spring Security的登錄認證邏輯源碼進行了解析等等��。我們所有的用戶��、角色�、權限信息都是在配置文件里面寫死的���,然而在實際的業務系統中���,這些信息通常是存放在RBAC權限模型的數據庫表中的���。下面我們來回顧一下其中的核心概念:
RBAC的權限模型可以從用戶獲取為用戶分配的一個或多個角色����,從用戶的角色又可以獲取該角色的多種權限���。通過關聯查詢可以獲取某個用戶的角色信息和權限信息�����。
在源碼解析的文章中�,我們知道如果我們不希望用戶����、角色�����、權限信息寫死在配置里面����。我們應該實現UserDetails與UserDetailsService接口�����,從而從數據庫或者其他的存儲上動態的加載這些信息���。
以上是對一些核心的基礎知識的總結�,如果您對這些知識還不是很清晰��,建議您先往下讀本文�。如果看完本文仍然理解困難����,建議您翻看本號之前的文章�����。
二��、UserDetails與UserDetailsService接口
下面我們來看一下UserDetails接口都有哪些方法��。
public interface UserDetails extends Serializable {
//獲取用戶的權限集合
Collection<? extends GrantedAuthority> getAuthorities();
//獲取密碼
String getPassword();
//獲取用戶名
String getUsername();
//賬號是否沒過期
boolean isAccountNonExpired();
//賬號是否沒被鎖定
boolean isAccountNonLocked();
//密碼是否沒過期
boolean isCredentialsNonExpired();
//賬戶是否可用
boolean isEnabled();
}現在��,我們明白了��,只要我們把這些信息提供給Spring Security����,Spring Security就知道怎么做登錄驗證了���,根本不需要我們自己寫Controller實現登錄驗證邏輯�����。
三���、實現UserDetails 接口
public class SysUser implements UserDetails{
String password(); //密碼
String username(); //用戶名
boolean accountNonExpired; //是否沒過期
boolean accountNonLocked; //是否沒被鎖定
boolean credentialsNonExpired; //是否沒過期
boolean enabled; //賬號是否可用
Collection<? extends GrantedAuthority> authorities; //用戶的權限集合
//省略構造方法
//省略set方法
//省略get方法(即接口UserDetails的方法)
}我們就是寫了一個適應于UserDetails的java POJO類�����,所謂的 UserDetails接口實現就是一些get方法���。get方法由Spring Security調用�����,我們通過set方法或構造函數為 Spring Security提供UserDetails數據����。
四��、實現UserDetailsService接口
@Component
public class MyUserDetailsService implements UserDetailsService{
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//這里從數據庫sys_user表里面查詢實體類對象���。loadUser方法可使用Mybatis或JDBC或JPA自行實現���。
SysUser sysUser = loadUser(username);
// 判斷用戶是否存在
if(user == null) { throw new UsernameNotFoundException("用戶名不存在"); }
//從數據庫該用戶所有的角色信息����,所有的權限標志
//遍歷所有的ROLE角色及所有的Authority權限(菜單�����、按鈕)���。
//用逗號分隔他們的唯一標志�,具體過程自行實現�。
sysUser.setAuthorities( AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_AMIN , system:user:delete"));
//sysUser.setAccountNonLocked(true或false);
return sysUser;
}
}通常數據庫表sys_user字段要和SysUser屬性一一對應�,比如username�、password���、enabled�����。但是比如accountNonLocked字段用于登錄多次錯誤鎖定�,但我們一般不會在表里存是否鎖定��,而是存一個鎖定時間字段�。通過鎖定時間是否大于當前時間判斷賬號是否鎖定���,所以實現過程中可以靈活做判斷并用好set方法��,不必拘泥于一一對應的形式�。
角色是一種特殊的權限���,在Spring Security我們可以使用hasRole(角色標識)表達式判斷用戶是否具有某個角色�,決定他是否可以做某個操作;通過hasAuthority(權限標識)表達式判斷是否具有某個操作權限�����。
五�、最后說明
至此���,我們將系統里面的所有的用戶���、角色��、權限信息都通過UserDetailsService和UserDetails告知了Spring Security���。但是多數朋友可能仍然不知道該怎樣實現登錄的功能���,其實剩下的事情很簡單了:
寫一個登錄界面�,寫一個登錄表單����,表單使用post方法提交到默認的/login路徑
表單的用戶名����、密碼字段名稱默認是username����、password���。
寫一個登錄成功之后的跳轉頁面���,比如index.html
看完上述內容�����,你們掌握怎么在SpringSecurity中動態加載用戶角色權限的方法了嗎����?如果還想學到更多技能或想了解更多相關內容���,歡迎關注億速云行業資訊頻道��,感謝各位的閱讀�����!
