qidao123.com技术社区-IT企服评测·应用市场

标题: SpringBoot3整合SpringSecurity6(三)基于数据库的用户认证 [打印本页]

---

作者: 李优秀    时间: 2025-5-6 08:19
标题: SpringBoot3整合SpringSecurity6(三)基于数据库的用户认证
各人好，我是晓凡。
写在前面

上一篇文章中，我们了解了SpringSecurity怎么基于内存举行用户认证。但这还远远不够，在实际开辟中。
用户往往都存在于数据库，所以从这篇文章开始，我们就要开始学习基于数据库的用户认证。
一、认证流程

其实基于数据库的用户认证和基于内存认证大同小异，我们只需要将从内存获取用户信息，换成从数据库获取用户信息即可。
换成代码就是替换掉InMermoryUserDetailManager 实现类，本身去实现UserDetailsService，从数据库查询用户然后返回。

二、SpringBoot3整合数据库

在举行认证前，我们需要包管SpringBoot能正常整合数据库，查询用户信息。这里我们使用的数据库是MySQL8.0。
2.1 创建数据库、表、插入数据

①创建数据库
我们这里创建一个security-demo的数据库

1. -- 创建数据库
2. CREATE DATABASE `security-demo`;
3. USE `security-demo`;

复制代码

② 创建用户

1. -- 创建用户表
2. CREATE TABLE `user`(
3.         `id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY,  -- 主键ID
4.         `username` VARCHAR(50) DEFAULT NULL ,  -- 用户名
5.         `password` VARCHAR(500) DEFAULT NULL, -- 密码
6.         `enabled` BOOLEAN NOT NULL -- 是否启用
7. );

复制代码

③ 创建唯一索引

在这里一个用户的用户名username字段肯定是不能重复的，所以要为username创建唯一索引,包管username的唯一

1. CREATE UNIQUE INDEX `user_username_uindex` ON `user`(`username`);

复制代码

④ 插入数据

为了方便测试，我们默认插入几个用户。为了安全起见，这里暗码采用SpringSecurity默认的bcrypt加密方式。不清楚的小伙可以先不消管，再后面的文章中会具体介绍到暗码加密算法

1. -- 插入用户数据(密码是 "password" )
2. INSERT INTO `user` (`username`, `password`, `enabled`) VALUES
3. ('admin', '{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW', TRUE),
4. ('xiezhr', '{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW', TRUE),
5. ('xiaofan', '{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW', TRUE);

复制代码

2.2 设置Lombok

为了偷懒，我们还引入了Lombok 。 使用Lombok ,可以让我们避免写get、set、toString等样板式代码。堪称偷懒神器，解放了双手。

① 下面例举了怎么使用Lombok 来偷懒

• 简化 Getter 和 Setter 方法：在传统的 Java 开辟中，你经常需要为每个类的属性手动编写 Getter 和 Setter 方法，但是有了 Lombok，你只需要在属性上加上 @Getter 和 @Setter 注解，Lombok 就会为你主动生成这些方法。
  
• 主动生成构造函数：通过 @NoArgsConstructor、@RequiredArgsConstructor 或 @AllArgsConstructor 注解，你可以快速生成无参构造函数、带有必需参数的构造函数或者带有全部参数的构造函数。
  
• 主动生成 equals 和 hashCode 方法： 通过 @EqualsAndHashCode 注解，Lombok 会根据类的字段主动生成 equals() 和 hashCode() 方法，让你的类更易于比较和使用在集合中。
  
• 日记记录更轻松： 使用 @Slf4j 注解，你可以直接在类中使用 log 对象，而无需手动创建日记记录器。
  
• 简化非常抛出： 通过 @SneakyThrows 注解，你可以在方法中抛出受检非常，而无需显式地在方法上声明或捕获它们。
  
• 数据类简化： 使用 @Data 注解，Lombok 会为你主动生成全部常用方法，如 Getter、Setter、toString() 等，让你的数据类更加轻便。
  
• 链式调用： 使用 @Builder 注解，Lombok 可以帮你创建一个更优雅的构建器模式，让你的对象初始化更加流通。
  

② IDEA 中安装 Lombok 插件

我们需要再IDEA中安装了Lombok插件，才能正式愉快的使用Lombok。

根据你的系统依次点击菜单：

• Windows 系统：File -> Settings... -> Plugins;
  
• Mac 系统：IntelliJ IDEA -> Preferences -> Plugins;
  
  
  
  

点击 Marketplace ， 进入插件市场, 输入关键词 lombok, 搜刮该插件：

③ 引入依靠
在pom.xml文件中添加如下依靠

1. <dependency>
2.     <groupId>org.projectlombok</groupId>
3.     <artifactId>lombok</artifactId>
4.     <version>1.18.32</version>
5. </dependency>

复制代码

2.3 引入Mybatis Plus

为了方便后续数据库增删改查等利用，我们引入MybatisPuls作为长期层框架。
① Mybatis Plus简介
有些小伙伴大概还不知道MybatisPuls，这里简单介绍一下，知道的小伙伴直接跳过即可。
用白话文说MybatisPuls是一款利用数据库的框架。它是一个 MyBatis 的加强工具，就像 iPhone手机一般都有个 plus 版本一样，它在 MyBatis 的基础上只做加强不做改变，为简化开辟、提高效率而生。
MyBatis Plus 的愿景是成为 MyBatis 最好的搭档，就像魂斗罗中的 1P、2P，基友搭配，效率翻倍。

② 引入依靠

为了整合mybatis-plus，我们需要在pom.xml中引入如下依靠

1. <dependency>
2.     <groupId>com.baomidou</groupId>
3.     <artifactId>mybatis-plus-spring-boot3-starter</artifactId>
4.     <version>3.5.5</version>
5. </dependency>

复制代码

2.4 引入MySQL依靠

我们这里数据库使用的是MySQL，所以还得引入MySQL相关依靠

1. <dependency>
2.     <groupId>mysql</groupId>
3.     <artifactId>mysql-connector-java</artifactId>
4.     <version>8.0.33</version>
5. </dependency>

复制代码

2.5 完整依靠

最终完整依靠如下

1. <dependencies>
2.    
3.     <dependency>
4.         <groupId>org.springframework.boot</groupId>
5.         <artifactId>spring-boot-starter-web</artifactId>
6.     </dependency>
7.    
8.     <dependency>
9.         <groupId>org.springframework.boot</groupId>
10.         <artifactId>spring-boot-starter-security</artifactId>
11.         <version>3.2.10</version>
12.     </dependency>
13.    
14.     <dependency>
15.         <groupId>org.projectlombok</groupId>
16.         <artifactId>lombok</artifactId>
17.         <version>1.18.32</version>
18.     </dependency>
19.    
20.     <dependency>
21.         <groupId>com.baomidou</groupId>
22.         <artifactId>mybatis-plus-spring-boot3-starter</artifactId>
23.         <version>3.5.5</version>
24.     </dependency>
25.    
26.     <dependency>
27.         <groupId>org.springframework.boot</groupId>
28.         <artifactId>spring-boot-starter-test</artifactId>
29.         <scope>test</scope>
30.     </dependency>
31.    
32.     <dependency>
33.         <groupId>mysql</groupId>
34.         <artifactId>mysql-connector-java</artifactId>
35.         <version>8.0.33</version>
36.     </dependency>
37. </dependencies>

复制代码

2.6 设置数据源

application.yml文件中设置MySQL数据源，即mybatis-plus日记

1. # MySQL数据源
2. spring:
3.   datasource:
4.     driver-class-name: com.mysql.cj.jdbc.Driver
5.     url: jdbc:mysql://localhost:3308/security-demo
6.     username: root
7.     password: 123456
9. # MySQL日志
10. mybatis-plus:
11.   configuration:
12.     log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

复制代码

2.7 创建实体类

1. package com.xiezhr.securityindbuser.entity;
3. @TableName("user")
4. @Data
5. public class User {
6.     @TableId(value = "id", type = IdType.AUTO)
7.     private Integer id;
9.     @TableField(value = "username")
10.     private String username;
12.     @TableField(value = "password")
13.     private String password;
14.    
15.     @TableField(value = "enabled")
16.     private Boolean enabled;
17. }

复制代码

• @TableName("user") : mybatis-plus注解，用来指定命据库表名。这里实体名称与数据库表名一致，该注解可省略
  
• @Data ombok注解，用来生成get、set方法
  
• @TableId(value = "id", type = IdType.AUTO) :mybatis-plus注解，用来指定了字段 id 为表的主键，同时指定主键为自增范例
  
• @TableField(value = "username"):mybatis-plus注解，用来指定字段名。这里实体类属性与数据库字段一致，该注解可省略
  

2.8 Mapper接口

1. package com.xiezhr.securityindbuser.mapper;
3. @Mapper
4. public interface UserMapper extends BaseMapper<User> {
5. }

复制代码

• 继续BaseMapper通用类，可以默认帮我们实现基本增删改查
  

2.9 Service

① 接口

1. package com.xiezhr.securityindbuser.service;
3. public interface UserService extends IService<User> {
4. }

复制代码

② 实现

1. package com.xiezhr.securityindbuser.service.impl;
3. @Service
4. public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {
5. }

复制代码

2.10 Controller

1. package com.xiezhr.securityindbuser.controller;
3. @RestController
4. @RequestMapping("/user")
5. public class UserController {
7.     @Autowired
8.     private UserService userService;
10.     @GetMapping("/list")
11.     public List<User> getUserList(){
13.         return userService.list();
14.     }
15. }

复制代码

2.11 测试是否正常获取数据

以上末节中，我们建立了各种类。结构如下

启动服务，欣赏器中输入：http://localhost:8080/user/list  看看是否能查出数据库中用户数据？

至此，我们已经乐成整合数据库，而且从数据库中查询出了用户信息。
接下来，我们要做的就是把认证流程从内存中获取用户信息替换成我们本身实现从数据库中查询用户信息。
三、基于数据库的用户认证

3.1 认证流程

通过之前基于内存认证分析，我们知道。只要实现UserDetailsService 接口的loadUserByUsername 方法就可以从数据库中获取用户信息。

• 程序启动时：
  
  
  
  • 创建DBUserDetailsManager类，实现接口 UserDetailsService 接口
    
  • 在应用程序中初始化这个类的对象，使springsecurity不再从内存中获取用户信息，而是通过我们本身实现类从数据库中查询用户信息。
    
  
  
• 校验用户时：
  
  
  
  • SpringSecurity主动使用DBUserDetailsManager的loadUserByUsername方法从数据库中获取User对象
    
  • 在UsernamePasswordAuthenticationFilter过滤器中的attemptAuthentication方法中将用户输入的用户名暗码和从数据库中获取到的用户信息举行比较，举行用户认证
    
  
  

3.2  创建DBUserDetailsManager

我们在service包下创建DBUserDetailsManager 来实现UserDetailsService 接口，替换从内存中获取用户信息。代码如下

1. package com.xiezhr.securityindbuser.service.impl;
3. public class DBUserDetailsManager implements UserDetailsService {
5.     @Resource
6.     private UserMapper userMapper;
7.     @Override
8.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
10.         QueryWrapper<User> queryWrapper = new QueryWrapper<User>();
11.         //使用username构造查询条件
12.         QueryWrapper<User> wrapper = queryWrapper.eq("username", username);
13.                 //由于用户名不能重复，所以我们使用selectOne查询用户信息即可
14.         User user = userMapper.selectOne(wrapper);
15.         if (user == null) {
16.             //用户不存在，抛出异常
17.             throw new UsernameNotFoundException(username);
18.         } else {
19.             //由于现在还没有权限信息，所以我们构造一个空的权限信息
20.             Collection< GrantedAuthority> authorities = new ArrayList<>();
21.             return new org.springframework.security.core.userdetails.User(
22.                     user.getUsername(),  //
23.                     user.getPassword(),
24.                     user.getEnabled(),
25.                     true,  //用户账户是否没过期
26.                     true, //用户凭证是否没过期
27.                     true, //用户是否未被锁定
28.                     authorities //用户权限信息
29.             );
30.         }
31.     }
32. }

复制代码

3.3 初始化UserDetailsService

说了一堆理论，那么我们怎么才能让springsecurity不从内存获取用户信息，而是通过上一步创建的DBUserDetailsManager 来查询用户信息。
接下来的就比较关键了，我们只需创建一个WebSecurityConfig,然后创建基于数据库的用户管理器dbUserDetailsManager即可

1. package com.xiezhr.securityindbuser.config;
3. @Configuration  //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中
4. @EnableWebSecurity  //开启spring security 自定义配置
5. public class WebSecurityConfig {
7.     @Bean
8.     public UserDetailsService userDetailsService(){
9.         //创建基于数据库的用户管理器
10.         DBUserDetailsManager dbUserDetailsManager = new DBUserDetailsManager();
11.         return dbUserDetailsManager;
12.     }
13. }

复制代码

当然我们也可以直接在DBUserDetailsManager类上添加@Component注解,也能实现同样的效果
3.4 测试一下

通过上面的步调，基于数据库的认证基本就完成了。
在整合数据库的时间我们插入了三个用户信息

下面我们来测试下结果，欣赏器中输入：http://localhost:8080/user/list

随便输入上面三个用户中一个，admin/password  xiezhr/password   xiaofan/password 即可正常访问接口

到此，我们乐成完成了基于数据库的用户认证功能，是不是很简单呢~

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 qidao123.com技术社区-IT企服评测·应用市场 (https://dis.qidao123.com/)

Powered by Discuz! X3.4