spring security使用数据库表管理账户及其角色

前面使用了xml配置文件实现了springsecurity的登陆的用户验证。然而用户密码这些信息不可能是固定的,我们需要向项目中添加或删除账户,每次都修改配置文件显然是不恰当的,那么我们就需要使用数据库表来保存账户信息,这样才能方便程序对账户进行添加和删除。该示例并不使用太复杂的权限管理,不涉及用户、角色、资源等复杂的关系,仅仅使用数据库来代替了使用配置文件配置的authentication-provider,使用了一个数据库表来存储账户的用户名、密码和角色信息。

数据库表:sec_user

create table sec_user(
 username varchar(100) primary key,
 password varchar(255),
 role varchar(100)
);

插入数据:

insert into sec_user values('admin','admin','ROLE_USER,ROLE_ADMIN');
insert into sec_user values('test','test','ROLE_USER');

要使用数据库需要自定义一个UserDetailsService的实现类,该接口有一个方法:

public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException, DataAccessException {
		return null;
	}

由该方法看到该方法返回一个UserDetails的对象,UserDetails是一个接口,那么这个接口该如何实现呢?答案很简单,使用我们数据库表对应的实体类来实现这个接口就行了。下面看一下实现:

MyUserDetailService.java

@Service("myUserDetailService")
public class MyUserDetailService implements UserDetailsService {
	
	@Autowired
	private UserDao userDao;
	
	public UserDao getUserDao() {
		return userDao;
	}


	public void setUserDao(UserDao userDao) {
		this.userDao = userDao;
	}


	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException, DataAccessException {
		User user = this.userDao.findByUsername(username);
		return user;
	}

}

我采用注解的方法将userDao注入进来,userDao中有一个通过用户名查找用户信息的方法findByUsername。

UserDaoImpl.java

@Repository("userDao")
public class UserDaoImpl extends HibernateDaoSupport implements UserDao {
	@Autowired
	public void setSessionFactory0(SessionFactory sessionFactory) {
		super.setSessionFactory(sessionFactory);
	}

	public User findByUsername(String username) {
		return this.getHibernateTemplate().get(User.class, username);
	}

}

UserDao接口的实现类,实现了findByUsername方法供loadUserByUsername方法调用。

User.java

@Entity
@Table(name="SEC_USER")
public class User implements Serializable,UserDetails {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;
	
	@Id
	@Column(name="USERNAME",unique=true,nullable=false)
	private String username;
	@Column(name="PASSWORD")
	private String password;
	@Column(name="ROLE")
	private String role;
	public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	public String getRole() {
		return role;
	}
	public void setRole(String role) {
		this.role = role;
	}
	public Collection<GrantedAuthority> getAuthorities() {
		List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
		//数据库中使用了逗号作为角色名的分隔符
		String[] roles = this.role.split(",");
		for(String r : roles){
			if(r != null && !"".equals(r)){
				GrantedAuthority authority = new GrantedAuthorityImpl(r);
				authorities.add(authority);
			}
		}
		return authorities;
	}
	public boolean isAccountNonExpired() {
		return true;
	}
	public boolean isAccountNonLocked() {
		return true;
	}
	public boolean isCredentialsNonExpired() {
		return true;
	}
	public boolean isEnabled() {
		return true;
	}
}

代码中getAuthorities和四个is***方法是UserDetails接口需要实现的方法,四个is***方法都需要返回为true账户才能使用。getAuthorities返回该账户所拥有的角色。

applicationContext-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
    <http auto-config="true">
        <intercept-url pattern="/login.html" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
        <intercept-url pattern="/resources/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
        <intercept-url pattern="/**" access="ROLE_USER"/>
        <form-login login-page="/login.html" default-target-url="/index.html"/>
    </http>
    
    <authentication-manager>
        <authentication-provider user-service-ref="myUserDetailService">
        </authentication-provider>
    </authentication-manager>
    
</beans:beans>

这里authentication-provider使用了我们自定义的UserDetailService的实现类myUserDetailService。

现在springsecurity就可以工作了,当我们访问项目的某一个页面时,都会首先跳转到登陆页面login.html,登陆成功后进入index.html页面。

相关推荐