Spring Security系列二 用户登录认证数据库实现

转载：https://www.ktanx.com/blog/p/4916

前言

在前面Spring Security系列一 权限控制基本功能实现中，我们已经实现了基本功能，这一章我们来把用户的登录认证修改成贴近实际的数据库获取。

Spring Security认证架构

在这之前，先来了解一下Spring Security的认证架构，有篇不错的分析文章，具体可以看这里：https://my.oschina.net/u/865921/blog/159849。

总的来说，Spring Security通过filter来控制web应用的安全，但filter自己不干事，分别委托给了认证管理器和决策管理器，认证管理器和决策管理器再分别委托给Provider和Voter，就这样一级级委托下来，委托的最底层就是需要我们根据实际情况实现的逻辑。可以看下图：

根据我们这次的目标，想用数据库来储存用户的认证数据，那么我们就需要一个操作数据库的Provider，这个Spring Security内部已经有了实现，就是DaoAuthenticationProvider，我们只需要实现它委托的UserDetailService即可，这个其实在前面一篇文章中已经有了实现，只不过没用数据库而已。对于Voter，选择内置的RoleVoter就够用了，它会根据我们的设置来决定是否允许某一个用户访问特定的Web资源。

建表

想要把数据存储在数据库，第一步当然是建表了，这里简单起见，只搞了用户和权限的基本信息：

1. CREATE TABLE `USER` (
2. `USER_ID` bigint(20) NOT NULL AUTO_INCREMENT,
3. `LOGIN_NAME` varchar(32) NOT NULL,
4. `PASSWORD` varchar(32) NOT NULL,
5. `GMT_CREATE` datetime NOT NULL,
6. PRIMARY KEY (`USER_ID`)
7. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
8.  
9. CREATE TABLE `USER_AUTH` (
10. `USER_AUTH_ID` bigint(20) NOT NULL AUTO_INCREMENT,
11. `USER_ID` bigint(20) NOT NULL,
12. `AUTH_CODE` varchar(32) NOT NULL,
13. `GMT_CREATE` datetime NOT NULL,
14. PRIMARY KEY (`USER_AUTH_ID`)
15. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
16.  
17. insert into user(login_name,password,gmt_create) values ('admin','123456',now());
18. insert into user(login_name,password,gmt_create) values ('selfly','123456',now());
19. insert into user_auth(user_id,auth_code,gmt_create) values (1,'admin',NOW()); -- admin
20. insert into user_auth(user_id,auth_code,gmt_create) values (2,'user',NOW()) -- user

在Spring Security中，貌似用户都是对应到角色（role）的，但是在实际的应用中一般都是对应到具体的权限码，这点无须纠结，把它理解为命名的方式不同而已即可，关于权限码的授权后面再作细讲。

修改CustomUserDetailsService

其实没多大改动，主要就是把写死的用户数据换成从数据库获取而已，具体代码：

1. @Override
2. public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
3. User user = jdbcDao.querySingleResult(Criteria.select(User.class).where("loginName", new Object[]{s}));
4. if (user == null) {
5. throw new UsernameNotFoundException("user not found");
6. }
7. List authorities = new ArrayList();
8.  
9. List userAuthList = jdbcDao.queryList(Criteria.select(UserAuth.class).where("userId", new Object[]{user.getUserId()}));
10. if (userAuthList != null) {
11.  
12. for (UserAuth userAuth : userAuthList) {
13. authorities.add(new SimpleGrantedAuthority("ROLE_" + userAuth.getAuthCode()));
14. LOG.info("loginName:{},authCode:{}", user.getLoginName(), userAuth.getAuthCode());
15. }
16.  
17. }
18. return new org.springframework.security.core.userdetails.User(user.getLoginName(), user.getPassword(),
19. authorities);
20. }

测试

修改后，再访问 http://localhost:8080/login 页面，分别用admin和selfly登录，权限校验结果还是跟前面一样，但后台的用户信息已经换成从数据库获取了。

附件列表

• security-demo.zip