2. 程式人生 > >spring security基於資料庫表認證的原始碼分析

spring security基於資料庫表認證的原始碼分析

阿新 發佈:2019-01-07 
我們從研究org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl.class的原始碼開始
public class JdbcDaoImpl extends JdbcDaoSupport
        implements UserDetailsService, MessageSourceAware {
    //預設的使用者查詢sql
    public static final String DEF_USERS_BY_USERNAME_QUERY = "select username,password,enabled "
            + "from users " + "where username = ?";
  //預設的許可權查詢sql
    
 
public static final String DEF_AUTHORITIES_BY_USERNAME_QUERY = "select username,authority "
            + "from authorities " + "where username = ?";
  //預設的許可權組查詢sql
    public static final String DEF_GROUP_AUTHORITIES_BY_USERNAME_QUERY = "select g.id, g.group_name, ga.authority "
            + "from groups g, group_members gm, group_authorities ga "
            + "where gm.username = ? " + "and g.id = ga.group_id "
            + "and g.id = gm.group_id";

 

    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();

    private String authoritiesByUsernameQuery;
    private String groupAuthoritiesByUsernameQuery;
    private String usersByUsernameQuery;
  //角色字首預設為""
    private String rolePrefix = "";
    private boolean usernameBasedPrimaryKey = true
 
;
    private boolean enableAuthorities = true;
  //許可權組預設未設定
    private boolean enableGroups;


  //構造時填充sql
    public JdbcDaoImpl() {
        this.usersByUsernameQuery = DEF_USERS_BY_USERNAME_QUERY;
        this.authoritiesByUsernameQuery = DEF_AUTHORITIES_BY_USERNAME_QUERY;
        this.groupAuthoritiesByUsernameQuery = DEF_GROUP_AUTHORITIES_BY_USERNAME_QUERY;
    }

  
    protected MessageSourceAccessor getMessages() {
        return this.messages;
    }

 
    protected void addCustomAuthorities(String username,
            List<GrantedAuthority> authorities) {
    }

    public String getUsersByUsernameQuery() {
        return this.usersByUsernameQuery;
    }

    @Override
    protected void initDao() throws ApplicationContextException {
        Assert.isTrue(this.enableAuthorities || this.enableGroups,
                "Use of either authorities or groups must be enabled");
    }

  //載入使用者方法,實現了UserDetailsService介面
    @Override
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
        List<UserDetails> users = loadUsersByUsername(username);//呼叫方法載入使用者

        if (users.size() == 0) {
            this.logger.debug("Query returned no results for user '" + username + "'");

            throw new UsernameNotFoundException(
                    this.messages.getMessage("JdbcDaoImpl.notFound",
                            new Object[] { username }, "Username {0} not found"));
        }

        UserDetails user = users.get(0); //get(0)說明如果資料庫中有多個相同name的user,那麼以第一個為準

        Set<GrantedAuthority> dbAuthsSet = new HashSet<GrantedAuthority>();

        if (this.enableAuthorities) {
       //載入許可權,如果下面的許可權組執行了這裡的許可權將被覆蓋,因為最終會被存入dbAuthsSet 這個set集合中
            dbAuthsSet.addAll(loadUserAuthorities(user.getUsername()));
        }

        if (this.enableGroups) {
        //載入許可權組
            dbAuthsSet.addAll(loadGroupAuthorities(user.getUsername()));
        }

        List<GrantedAuthority> dbAuths = new ArrayList<GrantedAuthority>(dbAuthsSet);
    
        addCustomAuthorities(user.getUsername(), dbAuths);

        if (dbAuths.size() == 0) {
            this.logger.debug("User '" + username
                    + "' has no authorities and will be treated as 'not found'");

            throw new UsernameNotFoundException(this.messages.getMessage(
                    "JdbcDaoImpl.noAuthority", new Object[] { username },
                    "User {0} has no GrantedAuthority"));
        }
    //建立使用者
        return createUserDetails(username, user, dbAuths);
    }

    protected List<UserDetails> loadUsersByUsername(String username) {
    //spring jdbc去查詢user
        return getJdbcTemplate().query(this.usersByUsernameQuery,
                new String[] { username }, new RowMapper<UserDetails>() {
                    @Override
                    public UserDetails mapRow(ResultSet rs, int rowNum)
                            throws SQLException {
                        String username = rs.getString(1);//注意:你的sql查詢結果順序
                        String password = rs.getString(2);//這裡和下面都是
                        boolean enabled = rs.getBoolean(3);
                        return new User(username, password, enabled, true, true, true,
                                AuthorityUtils.NO_AUTHORITIES);//除了前三個我們可以操縱,後面的狀態值都是固定開啟的
                    }

                });
    }

   //注意事項和上面一樣
    protected List<GrantedAuthority> loadUserAuthorities(String username) {
        return getJdbcTemplate().query(this.authoritiesByUsernameQuery,
                new String[] { username }, new RowMapper<GrantedAuthority>() {
                    @Override
                    public GrantedAuthority mapRow(ResultSet rs, int rowNum)
                            throws SQLException {
              //查詢結果預設會加上角色字首
                        String roleName = JdbcDaoImpl.this.rolePrefix + rs.getString(2);

                        return new SimpleGrantedAuthority(roleName);
                    }
                });
    }

   //同上
    protected List<GrantedAuthority> loadGroupAuthorities(String username) {
        return getJdbcTemplate().query(this.groupAuthoritiesByUsernameQuery,
                new String[] { username }, new RowMapper<GrantedAuthority>() {
                    @Override
                    public GrantedAuthority mapRow(ResultSet rs, int rowNum)
                            throws SQLException {
                        String roleName = getRolePrefix() + rs.getString(3);

                        return new SimpleGrantedAuthority(roleName);
                    }
                });
    }

    
    protected UserDetails createUserDetails(String username,
            UserDetails userFromUserQuery, List<GrantedAuthority> combinedAuthorities) {
        String returnUsername = userFromUserQuery.getUsername();

        if (!this.usernameBasedPrimaryKey) {
            returnUsername = username;
        }

        return new User(returnUsername, userFromUserQuery.getPassword(),
                userFromUserQuery.isEnabled(), true, true, true, combinedAuthorities);
    }

   
    public void setAuthoritiesByUsernameQuery(String queryString) {
        this.authoritiesByUsernameQuery = queryString;
    }

    protected String getAuthoritiesByUsernameQuery() {
        return this.authoritiesByUsernameQuery;
    }

    
    public void setGroupAuthoritiesByUsernameQuery(String queryString) {
        this.groupAuthoritiesByUsernameQuery = queryString;
    }

   
    public void setRolePrefix(String rolePrefix) {
        this.rolePrefix = rolePrefix;
    }

    protected String getRolePrefix() {
        return this.rolePrefix;
    }

    
    public void setUsernameBasedPrimaryKey(boolean usernameBasedPrimaryKey) {
        this.usernameBasedPrimaryKey = usernameBasedPrimaryKey;
    }

    protected boolean isUsernameBasedPrimaryKey() {
        return this.usernameBasedPrimaryKey;
    }

  
    public void setUsersByUsernameQuery(String usersByUsernameQueryString) {
        this.usersByUsernameQuery = usersByUsernameQueryString;
    }

    protected boolean getEnableAuthorities() {
        return this.enableAuthorities;
    }

   
    public void setEnableAuthorities(boolean enableAuthorities) {
        this.enableAuthorities = enableAuthorities;
    }

    protected boolean getEnableGroups() {
        return this.enableGroups;
    }

  
    public void setEnableGroups(boolean enableGroups) {
        this.enableGroups = enableGroups;
    }

    @Override
    public void setMessageSource(MessageSource messageSource) {
        Assert.notNull(messageSource, "messageSource cannot be null");
        this.messages = new MessageSourceAccessor(messageSource);
    }
}

主要幾點在我註釋的那些地方,可以看出這種方式是很不靈活的一種方式,但足夠滿足大多數小專案了。

根據這個內建的實現我們的資料表應該使用5張表來滿足它,users,authorities,groups以及兩張關聯表。

/*
Navicat MySQL Data Transfer

Source Server         : localhost
Source Server Version : 50621
Source Host           : localhost:3306
Source Database       : security

Target Server Type    : MYSQL
Target Server Version : 50621
File Encoding         : 65001

Date: 2014-12-10 15:49:04
*/

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for authorities
-- ----------------------------
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(20) DEFAULT NULL,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for groups
-- ----------------------------
DROP TABLE IF EXISTS `groups`;
CREATE TABLE `groups` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `groupName` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for group_authorities
-- ----------------------------
DROP TABLE IF EXISTS `group_authorities`;
CREATE TABLE `group_authorities` (
  `group_Id` int(11) NOT NULL AUTO_INCREMENT,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`group_Id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for group_members
-- ----------------------------
DROP TABLE IF EXISTS `group_members`;
CREATE TABLE `group_members` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `group_Id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(8) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `password` varchar(50) DEFAULT NULL,
  `enabled` tinyint(4) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

配置檔案如下:

@Configuration
@EnableWebSecurity//啟用web安全功能
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Autowired
    private DataSource dataSource;
    @Override
    protected void configure(AuthenticationManagerBuilder auth)
            throws Exception {
        //基於資料庫表進行認證,當呼叫groupAuthoritiesByUsername這個方法時enableGroups將被設定為true
     auth.jdbcAuthentication().dataSource(dataSource).usersByUsernameQuery("select username,password,enabled from users where username=?").groupAuthoritiesByUsername("select g.id, g.groupname, ga.authority from groups g, group_members gm, group_authorities ga where gm.username = ? and g.id = ga.group_id and g.id = gm.group_id");
    //其實只有auth.jdbcAuthentication().dataSource(dataSource)這一句就已經可以了,因為我們寫的sql與它內部的sql是一樣的。當需要時才去手寫它,比如當需要調整查詢條件或查詢結果時
} }

還有一點是我們資料庫表裡一定要有使用者並且關聯至少一個許可權,不然認證不會通過的。

這是基於資料庫表進行認證最簡單的一種方式,並且限制較多,只能處理使用者和許可權(不能處理角色,雖然可以開啟許可權組但是沒什麼用,我們只能判斷使用者是否擁有許可權卻不能判斷使用者是否屬於某一組),如果你的專案許可權比較複雜那麼推薦你去擴充套件UserDetailsService實現自定義載入資料。

經過這幾天研究shiro和springsecurity之後感覺它倆最大的不同就是springsecurity中的角色和許可權的概念完全是同一個東西。而shiro中則比較清晰,使用者,角色,許可權。使用者只能去通過角色去間接的繫結許可權,而不能直接去與許可權繫結。

以上純屬個人見解。

原文參考:https://www.cnblogs.com/hihtml5/p/6766674.html

相關推薦

spring security基於資料庫認證原始碼分析

我們從研究org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl.class的原始碼開始public class JdbcDaoImpl extends JdbcDaoSupport imp

Spring Security系列之核心過濾器原始碼分析(四)

文章來源 前面的部分,我們關注了Spring Security是如何完成認證工作的,但是另外一部分核心的內容:過濾器,一直沒有提到,我們已經知道Spring Security使用了springSecurityFillterChian作為了安全過濾的入口,這一節主要分析一下這個過濾器鏈都包含了哪

[Spring Security] Spring Security基於單的登入認證

1.基本原理SpringSecurity 最核心的部分是由一系列的過濾器組成的過濾器鏈,每個過濾器都負責處理一種認證方式,請求經過任何一個過濾器過濾後,都會在請求上做一個標記,來記錄認證是否成功,最後由FilterSecurityInterceptor根據我們配置的許可權來決

spring boot系列--spring security (基於數據庫)登錄和權限控制

and check ember pos 函數 gem int ida 是否 先說一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecur

spring實戰-Spring-security實現使用者許可權認證登入

第八篇:Spring-security實現使用者許可權認證登入 spring-security原本是Acegi Security元件,該元件是一個強大的安全框架,但是使用方式很繁瑣,要配置幾百行XML。整合進Spring後,就可以通過xml或者JavaConfig的方式,很容易的就實現了系統

spring-security專案使用ldap認證方式

package com.case.config; import java.util.Arrays; import java.util.Collection; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.s

Spring原始碼分析(十五)Spring中常用註解使用以及原始碼分析

從Java5.0開始,Java開始支援註解。Spring做為Java生態中的領軍框架,從2.5版本後也開始支援註解。相比起之前使用xml來配置Spring框架,使用註解提供了更多的控制Spring框架的方式。 現在越來越多的專案也都在使用註解做相關的配置,但Spring的註解非常多,相信

Spring Data之Repository建立及原始碼分析

背景 在上一篇文章Spring Data之EntityManager建立及原始碼分析介紹了EntityManager的建立過程,我們使用Spring Data JPA開發時一般是通過自定義一個例如UserRepository的介面,然後繼承JpaRepository或者CrudRepos

Spring Data之EntityManager建立及原始碼分析

背景 前一篇文章介紹了EntityManagerFactory的建立過程,有了EntityManagerFactory接下來就是要獲取EntityManager了,但EntityManager的建立不再是通過@Conditional註解,而是使用的@PersistenceContext註

Spring Data之EntityManagerFactory建立及原始碼分析

背景 在Spring Data之JPA開篇中可以看到Spring Boot的啟動日誌,先是建立了HikariDataSource,然後緊接著構建了EntityManagerFactory 2018-10-25 09:32:20.645 INFO 37469 --- [

Spring Data之DataSource建立及原始碼分析

背景 俗話說萬變不離其宗,程式碼中對資料庫的操作,首先是要獲取資料庫連線,而Java中最原生的連線方式就是通過DriverManager private static String driver = "org.h2.Driver"; private static String url

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionSecurityContextRepository

Spring Security Web提供的類HttpSessionSecurityContextRepository是一個SecurityContextRepository介面的實現,用於在HttpSession中儲存安全上下文(security context),這樣屬於同一個Htt

spring security基於方法的許可權控制

1.1     intercept-methods定義方法許可權控制        intercept-methods是需要定義在bean元素下的,通過它可以定義對當前的bean的某些方法進行許可權控制,具體方法是使用其下的子元素protect進行定義的。protect元素

Spring Security Config 5.1.2 原始碼解析 -- 工具類 AutowireBeanFactoryObjectPostProcessor

概述 Spring Security的配置機制會使用到很多物件,比如WebSecurity,ProviderManager,各個安全Filter等。這些物件的建立並不是通過bean定義的形式被容器發現和註冊進入容器的。而是由Spring Security配置機制使用Java new操

Spring Security Web 5.1.2 原始碼解析 -- 安全相關Filter清單

名稱 簡介 WebAsyncManagerIntegrationFilter TODO SecurityContextPersistenceFilter

Spring Security Web 5.1.2 原始碼解析 -- DefaultWebSecurityExpressionHandler 預設Web安全表示式處理器

概述 DefaultWebSecurityExpressionHandler是Spring Security Web用於Web安全表示式處理器(handler)。它會基於一組預設配置,和當時的環境,對指定的Web安全表示式求值。 DefaultWebSecurityExpress

Spring Security Web 5.1.2 原始碼解析 -- SessionManagementFilter

概述 該過濾器會檢測從當前請求處理開始到目前為止的過程中是否發生了使用者登入認證行為(比如這是一個使用者名稱/密碼錶單提交的請求處理過程),如果檢測到這一情況,執行相應的session認證策略(一個SessionAuthenticationStrategy),然後繼續繼續請求的處理。

Spring Security Web 5.1.2 原始碼解析 -- AnonymousAuthenticationFilter

概述 此過濾器過濾請求,檢測SecurityContextHolder中是否存在Authentication物件,如果不存在,說明使用者尚未登入,此時為其提供一個匿名Authentication物件:AnonymousAuthentication。 注意:在整個請求處理的

Spring Security Web 5.1.2 原始碼解析 -- RequestCacheAwareFilter

概述 Spring Security Web對請求提供了快取機制,如果某個請求被快取,它的提取和使用是交給RequestCacheAwareFilter完成的。 系統在啟動時,Spring Security Web會首先嚐試從容器中獲取一個RequestCache bean,獲取

Spring Security Web 5.1.2 原始碼解析 -- HttpSessionRequestCache

概述 Spring Security Web認證機制(通常指表單登入)中登入成功後頁面需要跳轉到原來客戶請求的URL。該過程中首先需要將原來的客戶請求快取下來,然後登入成功後將快取的請求從快取中提取出來。 針對該需求,Spring Security Web 提供了在http se