為了操作簡(jiǎn)單，我這里引入 Spring Data Jpa 來(lái)幫助我們完成數(shù)據(jù)庫(kù)操作

1.創(chuàng)建工程

首先我們創(chuàng)建一個(gè)新的 Spring Boot 工程，添加如下依賴：

注意，除了 Spring Security 依賴之外，我們還需要數(shù)據(jù)依賴和 Spring Data Jpa 依賴。

工程創(chuàng)建完成后，我們?cè)僭跀?shù)據(jù)庫(kù)中創(chuàng)建一個(gè)空的庫(kù)，就叫做 withjpa，里邊什么都不用做，這樣我們的準(zhǔn)備工作就算完成了。

2.準(zhǔn)備模型

接下來(lái)我們創(chuàng)建兩個(gè)實(shí)體類(lèi)，分別表示用戶角色了用戶類(lèi)：

用戶角色：

@Entity(name = 't_role')public class Role { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String name; private String nameZh; //省略 getter/setter}

這個(gè)實(shí)體類(lèi)用來(lái)描述用戶角色信息，有角色 id、角色名稱(chēng)（英文、中文），@Entity 表示這是一個(gè)實(shí)體類(lèi)，項(xiàng)目啟動(dòng)后，將會(huì)根據(jù)實(shí)體類(lèi)的屬性在數(shù)據(jù)庫(kù)中自動(dòng)創(chuàng)建一個(gè)角色表。

用戶實(shí)體類(lèi)：

@Entity(name = 't_user')public class User implements UserDetails { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String username; private String password; private boolean accountNonExpired; private boolean accountNonLocked; private boolean credentialsNonExpired; private boolean enabled; @ManyToMany(fetch = FetchType.EAGER,cascade = CascadeType.PERSIST) private List<Role> roles; @Override public Collection<? extends GrantedAuthority> getAuthorities() { List<SimpleGrantedAuthority> authorities = new ArrayList<>(); for (Role role : getRoles()) { authorities.add(new SimpleGrantedAuthority(role.getName())); } return authorities; } @Override public String getPassword() { return password; } @Override public String getUsername() { return username; } @Override public boolean isAccountNonExpired() { return accountNonExpired; } @Override public boolean isAccountNonLocked() { return accountNonLocked; } @Override public boolean isCredentialsNonExpired() { return credentialsNonExpired; } @Override public boolean isEnabled() { return enabled; } //省略其他 get/set 方法}

用戶實(shí)體類(lèi)主要需要實(shí)現(xiàn) UserDetails 接口，并實(shí)現(xiàn)接口中的方法。

這里的字段基本都好理解，幾個(gè)特殊的我來(lái)稍微說(shuō)一下：

accountNonExpired、accountNonLocked、credentialsNonExpired、enabled 這四個(gè)屬性分別用來(lái)描述用戶的狀態(tài)，表示賬戶是否沒(méi)有過(guò)期、賬戶是否沒(méi)有被鎖定、密碼是否沒(méi)有過(guò)期、以及賬戶是否可用。 roles 屬性表示用戶的角色，User 和 Role 是多對(duì)多關(guān)系，用一個(gè) @ManyToMany 注解來(lái)描述。 getAuthorities 方法返回用戶的角色信息，我們?cè)谶@個(gè)方法中把自己的 Role 稍微轉(zhuǎn)化一下即可。

3.配置

數(shù)據(jù)模型準(zhǔn)備好之后，我們?cè)賮?lái)定義一個(gè) UserDao：

public interface UserDao extends JpaRepository<User,Long> { User findUserByUsername(String username);}

這里的東西很簡(jiǎn)單，我們只需要繼承 JpaRepository 然后提供一個(gè)根據(jù) username 查詢 user 的方法即可。

在接下來(lái)定義 UserService ，如下：

@Servicepublic class UserService implements UserDetailsService { @Autowired UserDao userDao; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userDao.findUserByUsername(username); if (user == null) { throw new UsernameNotFoundException('用戶不存在'); } return user; }}

我們自己定義的 UserService 需要實(shí)現(xiàn) UserDetailsService 接口，實(shí)現(xiàn)該接口，就要實(shí)現(xiàn)接口中的方法，也就是 loadUserByUsername ，這個(gè)方法的參數(shù)就是用戶在登錄的時(shí)候傳入的用戶名，根據(jù)用戶名去查詢用戶信息（查出來(lái)之后，系統(tǒng)會(huì)自動(dòng)進(jìn)行密碼比對(duì)）。

配置完成后，接下來(lái)我們?cè)?Spring Security 中稍作配置，Spring Security 和測(cè)試用的 HelloController 我還是沿用之前文章中的（Spring Security 如何將用戶數(shù)據(jù)存入數(shù)據(jù)庫(kù)？），主要列出來(lái)需要修改的地方。

在 SecurityConfig 中，我們通過(guò)如下方式來(lái)配置用戶：

@AutowiredUserService userService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService);}

大家注意，還是重寫(xiě) configure 方法，只不過(guò)這次我們不是基于內(nèi)存，也不是基于 JdbcUserDetailsManager，而是使用自定義的 UserService，就這樣配置就 OK 了。

最后，我們?cè)僭?application.properties 中配置一下數(shù)據(jù)庫(kù)和 JPA 的基本信息，如下：

spring.datasource.username=rootspring.datasource.password=123spring.datasource.url=jdbc:mysql:///withjpa?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghaispring.jpa.database=mysqlspring.jpa.database-platform=mysqlspring.jpa.hibernate.ddl-auto=updatespring.jpa.show-sql=truespring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL8Dialect

都是常規(guī)配置，我們就不再重復(fù)解釋了。

這一套組合拳下來(lái)，我們的 Spring Security 就算是接入數(shù)據(jù)庫(kù)了，接下來(lái)我們來(lái)進(jìn)行測(cè)試

4.測(cè)試

首先我們來(lái)添加兩條測(cè)試數(shù)據(jù)，在單元測(cè)試中添加如下方法：

@AutowiredUserDao userDao;@Testvoid contextLoads() { User u1 = new User(); u1.setUsername('javaboy'); u1.setPassword('123'); u1.setAccountNonExpired(true); u1.setAccountNonLocked(true); u1.setCredentialsNonExpired(true); u1.setEnabled(true); List<Role> rs1 = new ArrayList<>(); Role r1 = new Role(); r1.setName('ROLE_admin'); r1.setNameZh('管理員'); rs1.add(r1); u1.setRoles(rs1); userDao.save(u1); User u2 = new User(); u2.setUsername('江南一點(diǎn)雨'); u2.setPassword('123'); u2.setAccountNonExpired(true); u2.setAccountNonLocked(true); u2.setCredentialsNonExpired(true); u2.setEnabled(true); List<Role> rs2 = new ArrayList<>(); Role r2 = new Role(); r2.setName('ROLE_user'); r2.setNameZh('普通用戶'); rs2.add(r2); u2.setRoles(rs2); userDao.save(u2);}

運(yùn)行該方法后，我們會(huì)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中多了三張表：

這就是根據(jù)我們的實(shí)體類(lèi)自動(dòng)創(chuàng)建出來(lái)的。

我們來(lái)查看一下表中的數(shù)據(jù)。

用戶表：

角色表：

用戶和角色關(guān)聯(lián)表：

有了數(shù)據(jù)，接下來(lái)啟動(dòng)項(xiàng)目，我們來(lái)進(jìn)行測(cè)試。

我們首先以 江南一點(diǎn)雨的身份進(jìn)行登錄：

登錄成功后，分別訪問(wèn) /hello，/admin/hello 以及 /user/hello 三個(gè)接口，其中：

/hello 因?yàn)榈卿浐缶涂梢栽L問(wèn)，這個(gè)接口訪問(wèn)成功。 /admin/hello 需要 admin 身份，所以訪問(wèn)失敗。 /user/hello 需要 user 身份，所以訪問(wèn)成功。

具體測(cè)試效果小伙伴們可以參考松哥的視頻，我就不截圖了。

在測(cè)試的過(guò)程中，如果在數(shù)據(jù)庫(kù)中將用戶的 enabled 屬性設(shè)置為 false，表示禁用該賬戶，此時(shí)再使用該賬戶登錄就會(huì)登錄失敗。

按照相同的方式，大家也可以測(cè)試 javaboy 用戶。

好了，今天就和小伙伴們說(shuō)這么多.

以上就是Spring Security+Spring Data Jpa如何進(jìn)行安全管理的詳細(xì)內(nèi)容，更多關(guān)于Spring Security+Spring Data Jpa 安全管理的資料請(qǐng)關(guān)注好吧啦網(wǎng)其它相關(guān)文章！