在我的一篇文章中,我通过一个简单的示例解释了 如何使用 Spring Security 和 Spring Boot 来保护 Spring MVC 应用程序的安全 。我将扩展同一个示例,现在使用 JDBC 身份验证并提供授权。更具体地说,在本文中,我将解释如何在 Spring MVC 应用程序中使用 Spring Security 来根据存储在 MySQL 数据库中的用户详细信息对用户进行身份验证和授权。
这次我不打算从头开始,而是使用我以前的 spring 安全教程 中的现有示例并对其进行修改以使其适合我们当前的场景。所以,您可以快速查看这篇文章,然后返回此处。
1. 首先从 这里 下载现有的应用程序。
2. 使用导入向导将项目导入到 Eclipse。
3.在mysql服务器中运行以下语句。这为我们设置了用户表和 user_roles 表,其中包含一些初始数据。4。现在让我们回到我们的应用程序。首先要做的是修改 pom.xml 文件以包含 spring-jdbc 和 mysql-connector
CREATE TABLE users (
username VARCHAR(45) NOT NULL ,
password VARCHAR(45) NOT NULL ,
enabled TINYINT NOT NULL DEFAULT 1 ,
PRIMARY KEY (username));
CREATE TABLE user_roles (
user_role_id int(11) NOT NULL AUTO_INCREMENT,
username varchar(45) NOT NULL,
role varchar(45) NOT NULL,
PRIMARY KEY (user_role_id),
UNIQUE KEY uni_username_role (role,username),
KEY fk_username_idx (username),
CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));
INSERT INTO users(username,password,enabled)
VALUES ('priya','priya', true);
INSERT INTO users(username,password,enabled)
VALUES ('naveen','naveen', true);
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_ADMIN');
INSERT INTO user_roles (username, role)
VALUES ('naveen', 'ROLE_USER');
小心!
永远不要使用纯文本作为密码。正确的方法是使用密码加密。您可以在下面找到指向更新的详细教程的链接,
4. 现在让我们回到我们的应用程序。首先要做的是修改 pom.xml 文件以包含 spring-jdbc 和 mysql-connector
pom.xml
CREATE TABLE users (
username VARCHAR(45) NOT NULL ,
password VARCHAR(45) NOT NULL ,
enabled TINYINT NOT NULL DEFAULT 1 ,
PRIMARY KEY (username));
CREATE TABLE user_roles (
user_role_id int(11) NOT NULL AUTO_INCREMENT,
username varchar(45) NOT NULL,
role varchar(45) NOT NULL,
PRIMARY KEY (user_role_id),
UNIQUE KEY uni_username_role (role,username),
KEY fk_username_idx (username),
CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));
INSERT INTO users(username,password,enabled)
VALUES ('priya','priya', true);
INSERT INTO users(username,password,enabled)
VALUES ('naveen','naveen', true);
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_ADMIN');
INSERT INTO user_roles (username, role)
VALUES ('naveen', 'ROLE_USER');
5. 现在我们必须在我们的 MvcConfig 类中为 mysql 数据源提供一个定义,它具有连接到我们之前创建的数据库的所有必要信息。
MvcConfig.java
CREATE TABLE users (
username VARCHAR(45) NOT NULL ,
password VARCHAR(45) NOT NULL ,
enabled TINYINT NOT NULL DEFAULT 1 ,
PRIMARY KEY (username));
CREATE TABLE user_roles (
user_role_id int(11) NOT NULL AUTO_INCREMENT,
username varchar(45) NOT NULL,
role varchar(45) NOT NULL,
PRIMARY KEY (user_role_id),
UNIQUE KEY uni_username_role (role,username),
KEY fk_username_idx (username),
CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));
INSERT INTO users(username,password,enabled)
VALUES ('priya','priya', true);
INSERT INTO users(username,password,enabled)
VALUES ('naveen','naveen', true);
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_ADMIN');
INSERT INTO user_roles (username, role)
VALUES ('naveen', 'ROLE_USER');
请注意,我在 addViewControllers 方法中又添加了一行以注册“403”(访问被拒绝)页面的视图。每当用户试图访问他/她无权访问的页面时,都会显示此页面。
6. 接下来我们必须修改安全配置类以使用我们定义的jdbc 数据源来验证和授权用户。
WebSecurityConfig.java
CREATE TABLE users (
username VARCHAR(45) NOT NULL ,
password VARCHAR(45) NOT NULL ,
enabled TINYINT NOT NULL DEFAULT 1 ,
PRIMARY KEY (username));
CREATE TABLE user_roles (
user_role_id int(11) NOT NULL AUTO_INCREMENT,
username varchar(45) NOT NULL,
role varchar(45) NOT NULL,
PRIMARY KEY (user_role_id),
UNIQUE KEY uni_username_role (role,username),
KEY fk_username_idx (username),
CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));
INSERT INTO users(username,password,enabled)
VALUES ('priya','priya', true);
INSERT INTO users(username,password,enabled)
VALUES ('naveen','naveen', true);
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_ADMIN');
INSERT INTO user_roles (username, role)
VALUES ('naveen', 'ROLE_USER');
总之
-
首先我们声明一个用@Autowired 注释的数据源对象。这将在同一包下的所有类中查找数据源定义。在这个例子中,我们在 MvcConfig.java 中定义了它
-
接下来我们为 AuthenticationManagerBuilder 设置两个查询。一个用于 usersByUsernameQuery 中的身份验证,另一个用于 authoritiesByUserNameQuery 中的授权。
-
最后我们配置 HttpSecurity 来定义哪些页面必须是安全的、授权的、未授权的、不安全的、登录页面、注销页面、拒绝访问页面等。这里要注意的一件重要事情是配置的顺序。特定于某些页面或 url 的配置必须放在最前面,而不是大多数 url 中常见的配置。
403.jsp
7. 最后,编写一个 jsp 页面,在拒绝用户访问时显示。
CREATE TABLE users (
username VARCHAR(45) NOT NULL ,
password VARCHAR(45) NOT NULL ,
enabled TINYINT NOT NULL DEFAULT 1 ,
PRIMARY KEY (username));
CREATE TABLE user_roles (
user_role_id int(11) NOT NULL AUTO_INCREMENT,
username varchar(45) NOT NULL,
role varchar(45) NOT NULL,
PRIMARY KEY (user_role_id),
UNIQUE KEY uni_username_role (role,username),
KEY fk_username_idx (username),
CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));
INSERT INTO users(username,password,enabled)
VALUES ('priya','priya', true);
INSERT INTO users(username,password,enabled)
VALUES ('naveen','naveen', true);
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('priya', 'ROLE_ADMIN');
INSERT INTO user_roles (username, role)
VALUES ('naveen', 'ROLE_USER');
就这些!
运行应用程序
要运行该应用程序,请以 Maven Build 运行,
应用程序中的嵌入式 tomcat 启动后,打开 localhost:8080
欢迎页面
点击链接查看欢迎页面,您将被重定向到登录页面,
登录页面
只有管理员用户有权查看问候语。以非管理员用户身份登录并尝试访问欢迎页面:
拒绝访问页面
注销并以管理员用户身份登录,然后您必须能够访问欢迎页面,
欢迎页
如何运行演示项目
有一种更好的实现 Spring Security 的方法是使用 Spring Data JPA。您可以在 此处 阅读相同的分步指南。