Spring Security將用戶數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫的方法

更新時(shí)間：2020年09月25日 10:35:03 作者：南淮北安

這篇文章主要介紹了Spring Security將用戶數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫的方法，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

一、UserDetailService

Spring Security 支持多種不同的數(shù)據(jù)源，這些不同的數(shù)據(jù)源最終都將被封裝成 UserDetailsService 的實(shí)例，在微人事（https://github.com/lenve/vhr）項(xiàng)目中，我們是自己來創(chuàng)建一個(gè)類實(shí)現(xiàn) UserDetailsService 接口，除了自己封裝，我們也可以使用系統(tǒng)默認(rèn)提供的 UserDetailsService 實(shí)例，例如上篇文章和大家介紹的 InMemoryUserDetailsManager 。

我們來看下 UserDetailsService 都有哪些實(shí)現(xiàn)類：

在這里插入圖片描述

可以看到，在幾個(gè)能直接使用的實(shí)現(xiàn)類中，除了 InMemoryUserDetailsManager 之外，還有一個(gè) JdbcUserDetailsManager，使用 JdbcUserDetailsManager 可以讓我們通過 JDBC 的方式將數(shù)據(jù)庫和 Spring Security 連接起來。

這里需要加入jdbc 和mysql 依賴：

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
   <groupId>mysql</groupId>
   <artifactId>mysql-connector-java</artifactId>
</dependency>

二、JdbcUserDetailsManager

JdbcUserDetailsManager 自己提供了一個(gè)數(shù)據(jù)庫模型，這個(gè)數(shù)據(jù)庫模型保存在如下位置：

org/springframework/security/core/userdetails/jdbc/users.ddl

這里存儲(chǔ)的腳本內(nèi)容如下：

create table users(username varchar_ignorecase(50) not null primary key,password varchar_ignorecase(500) not null,enabled boolean not null);
create table authorities (username varchar_ignorecase(50) not null,authority varchar_ignorecase(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

可以看到，腳本中有一種數(shù)據(jù)類型 varchar_ignorecase，這個(gè)其實(shí)是針對 HSQLDB 數(shù)據(jù)庫創(chuàng)建的，而我們使用的 MySQL 并不支持這種數(shù)據(jù)類型，所以這里需要大家手動(dòng)調(diào)整一下數(shù)據(jù)類型，將 varchar_ignorecase 改為 varchar 即可。

create table users(username varchar(50) not null primary key,password varchar(500) not null,enabled boolean not null);
create table authorities (username varchar(50) not null,authority varchar(50) not null,constraint fk_authorities_users foreign key(username) references users(username));
create unique index ix_auth_username on authorities (username,authority);

修改完成后，創(chuàng)建數(shù)據(jù)庫，執(zhí)行完成后的腳本。

在這里插入圖片描述

執(zhí)行完 SQL 腳本后，我們可以看到一共創(chuàng)建了兩張表：users 和 authorities。

users 表中保存用戶的基本信息，包括用戶名、用戶密碼以及賬戶是否可用。
authorities 中保存了用戶的角色。
authorities 和 users 通過 username 關(guān)聯(lián)起來。

配置完成后，接下來，我們將上篇文章中通過 InMemoryUserDetailsManager 提供的用戶數(shù)據(jù)用 JdbcUserDetailsManager 代替掉，如下：

@Autowired
  DataSource dataSource;

  @Override
  @Bean
  protected UserDetailsService userDetailsService() {
    JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
    manager.setDataSource(dataSource);
    if (!manager.userExists("yolo")) {
      manager.createUser(User.withUsername("yolo").password("123").roles("admin").build());
    }
    if (!manager.userExists("nlcs")) {
      manager.createUser(User.withUsername("nlcs").password("123").roles("user").build());
    }
    return manager;
  }

這段配置的含義如下：

（1）首先構(gòu)建一個(gè) JdbcUserDetailsManager 實(shí)例。
（2）給 JdbcUserDetailsManager 實(shí)例添加一個(gè) DataSource 對象。
（3）調(diào)用 userExists 方法判斷用戶是否存在，如果不存在，就創(chuàng)建一個(gè)新的用戶出來（因?yàn)槊看雾?xiàng)目啟動(dòng)時(shí)這段代碼都會(huì)執(zhí)行，所以加一個(gè)判斷，避免重復(fù)創(chuàng)建用戶）。
（4）用戶的創(chuàng)建方法和我們之前 InMemoryUserDetailsManager 中的創(chuàng)建方法基本一致。

這里的 createUser 或者 userExists 方法其實(shí)都是調(diào)用寫好的 SQL 去判斷的，我們從它的源碼里就能看出來（部分）：

public class JdbcUserDetailsManager extends JdbcDaoImpl implements UserDetailsManager,
 GroupManager {
 public static final String DEF_USER_EXISTS_SQL = "select username from users where username = ?";

 private String userExistsSql = DEF_USER_EXISTS_SQL;

 public boolean userExists(String username) {
 List<String> users = getJdbcTemplate().queryForList(userExistsSql,
  new String[] { username }, String.class);

 if (users.size() > 1) {
  throw new IncorrectResultSizeDataAccessException(
   "More than one user found with name '" + username + "'", 1);
 }

 return users.size() == 1;
 }
}

從這段源碼中就可以看出來，userExists 方法的執(zhí)行邏輯其實(shí)就是調(diào)用 JdbcTemplate 來執(zhí)行預(yù)定義好的 SQL 腳本，進(jìn)而判斷出用戶是否存在，其他的判斷方法都是類似，我就不再贅述。

三、數(shù)據(jù)庫支持

通過前面的代碼，大家看到這里需要數(shù)據(jù)庫支持，所以我們在項(xiàng)目中添加如下兩個(gè)依賴：

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
</dependency>

然后再在 application.properties 中配置一下數(shù)據(jù)庫連接：

spring.datasource.username=root
spring.datasource.password=root
spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai

因?yàn)檫@里選擇的是 Mysql 8 所以配置信息里需要加入：serverTimezone=Asia/Shanghai

配置完成后，就可以啟動(dòng)項(xiàng)目。

項(xiàng)目啟動(dòng)成功后，我們就可以看到數(shù)據(jù)庫中自動(dòng)添加了兩個(gè)用戶進(jìn)來，并且用戶都配置了角色。如下圖：

在這里插入圖片描述