如何使用SpringSecurity動態加載用戶角色權限實現登錄及鑒權功能
這篇文章將為大家詳細講解有關如何使用SpringSecurity動態加載用戶角色權限實現登錄及鑒權功能��,小編覺得挺實用的�����,因此分享給大家做個參考����,希望大家閱讀完這篇文章后可以有所收獲����。
一��、動態數據登錄驗證的基礎知識
在本號之前的文章中��,已經介紹了Spring Security的formLogin登錄認證模式�,RBAC的權限控制管理模型�����,并且針對Spring Security的登錄認證邏輯源碼進行了解析等等�����。我們所有的用戶���、角色���、權限信息都是在配置文件里面寫死的�����,然而在實際的業務系統中���,這些信息通常是存放在RBAC權限模型的數據庫表中的�����。下面我們來回顧一下其中的核心概念:
RBAC的權限模型可以從用戶獲取為用戶分配的一個或多個角色��,從用戶的角色又可以獲取該角色的多種權限����。通過關聯查詢可以獲取某個用戶的角色信息和權限信息�。 在源碼解析的文章中��,我們知道如果我們不希望用戶��、角色����、權限信息寫死在配置里面�。我們應該實現UserDetails與UserDetailsService接口��,從而從數據庫或者其他的存儲上動態的加載這些信息����。
以上是對一些核心的基礎知識的總結����,如果您對這些知識還不是很清晰�����,建議您先往下讀本文�����。如果看完本文仍然理解困難�,建議您翻看本號之前的文章�。
二�����、UserDetails與UserDetailsService接口
UserDetailsService接口有一個方法叫做loadUserByUsername��,我們實現動態加載用戶����、角色��、權限信息就是通過實現該方法����。函數見名知義:通過用戶名加載用戶��。該方法的返回值就是UserDetails�����。 UserDetails就是用戶信息�,即:用戶名�����、密碼��、該用戶所具有的權限����。
下面我們來看一下UserDetails接口都有哪些方法����。
public interface UserDetails extends Serializable { //獲取用戶的權限集合 Collection<? extends GrantedAuthority> getAuthorities(); //獲取密碼 String getPassword(); //獲取用戶名 String getUsername(); //賬號是否沒過期 boolean isAccountNonExpired(); //賬號是否沒被鎖定 boolean isAccountNonLocked(); //密碼是否沒過期 boolean isCredentialsNonExpired(); //賬戶是否可用 boolean isEnabled();}
現在�,我們明白了�,只要我們把這些信息提供給Spring Security�����,Spring Security就知道怎么做登錄驗證了�,根本不需要我們自己寫Controller實現登錄驗證邏輯���。
三���、實現UserDetails 接口
public class SysUser implements UserDetails{ String password(); //密碼 String username(); //用戶名 boolean accountNonExpired; //是否沒過期 boolean accountNonLocked; //是否沒被鎖定 boolean credentialsNonExpired; //是否沒過期 boolean enabled; //賬號是否可用 Collection<? extends GrantedAuthority> authorities; //用戶的權限集合 //省略構造方法 //省略set方法 //省略get方法(即接口UserDetails的方法)}
我們就是寫了一個適應于UserDetails的java POJO類���,所謂的 UserDetails接口實現就是一些get方法��。get方法由Spring Security調用�����,我們通過set方法或構造函數為 Spring Security提供UserDetails數據��。
四����、實現UserDetailsService接口
@Componentpublic class MyUserDetailsService implements UserDetailsService{ @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //這里從數據庫sys_user表里面查詢實體類對象�。loadUser方法可使用Mybatis或JDBC或JPA自行實現�。 SysUser sysUser = loadUser(username); // 判斷用戶是否存在 if(user == null) { throw new UsernameNotFoundException("用戶名不存在"); } //從數據庫該用戶所有的角色信息���,所有的權限標志 //遍歷所有的ROLE角色及所有的Authority權限(菜單��、按鈕)�����。 //用逗號分隔他們的唯一標志�����,具體過程自行實現�。 sysUser.setAuthorities( AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_AMIN , system:user:delete")); //sysUser.setAccountNonLocked(true或false); return sysUser; }}
通常數據庫表sys_user字段要和SysUser屬性一一對應�,比如username���、password���、enabled���。但是比如accountNonLocked字段用于登錄多次錯誤鎖定����,但我們一般不會在表里存是否鎖定����,而是存一個鎖定時間字段���。通過鎖定時間是否大于當前時間判斷賬號是否鎖定����,所以實現過程中可以靈活做判斷并用好set方法�����,不必拘泥于一一對應的形式�����。 角色是一種特殊的權限��,在Spring Security我們可以使用hasRole(角色標識)表達式判斷用戶是否具有某個角色���,決定他是否可以做某個操作;通過hasAuthority(權限標識)表達式判斷是否具有某個操作權限����。
五��、最后說明
至此����,我們將系統里面的所有的用戶���、角色�、權限信息都通過UserDetailsService和UserDetails告知了Spring Security��。但是多數朋友可能仍然不知道該怎樣實現登錄的功能��,其實剩下的事情很簡單了:
寫一個登錄界面��,寫一個登錄表單���,表單使用post方法提交到默認的/login路徑 表單的用戶名��、密碼字段名稱默認是username��、password�。 寫一個登錄成功之后的跳轉頁面�����,比如index.html
然后把這些信息通過配置方式告知Spring Security ��,以上的配置信息名稱都可以靈活修改���。
關于“如何使用SpringSecurity動態加載用戶角色權限實現登錄及鑒權功能”這篇文章就分享到這里了��,希望以上內容可以對大家有一定的幫助����,使各位可以學到更多知識����,如果覺得文章不錯����,請把它分享出去讓更多的人看到�����。
