spring security使用數據庫管理用戶權限

<authentication-provider>
    <user-service>
        <user name="admin" password="admin" authorities="ROLE_USER, ROLE_ADMIN" />
        <user name="user" password="user" authorities="ROLE_USER" />
    </user-service>
</authentication-provider>

將上述配置代碼配置爲

<authentication-provider>
    <jdbc-user-service data-source-ref="dataSource"/>
</authentication-provider>

如今只要再爲jdbc-user-service提供一個dataSource就可讓Spring Security使用數據庫中的權限信息了。在此咱們使用spring建立一個演示用的dataSource實現，這個dataSource會鏈接到hsqldb數據庫，從中獲取用戶權限信息。^[1]

<beans:bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
    <beans:property name="driverClassName" value="org.hsqldb.jdbcDriver"/>
    <beans:property name="url" value="jdbc:hsqldb:res:/hsqldb/test"/>
    <beans:property name="username" value="sa"/>
    <beans:property name="password" value=""/>
</beans:bean>
        

最終的配置文件以下所示：

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <http auto-config='true'>
        <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
        <intercept-url pattern="/**" access="ROLE_USER" />
    </http>

    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="dataSource"/>
        </authentication-provider>
    </authentication-manager>
//鏈接數據庫
    <beans:bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <beans:property name="driverClassName" value="org.hsqldb.jdbcDriver"/>
        <beans:property name="url" value="jdbc:hsqldb:res:/hsqldb/test"/>
        <beans:property name="username" value="sa"/>
        <beans:property name="password" value=""/>
    </beans:bean>
</beans:beans>
        

數據庫表結構

Spring Security默認狀況下須要兩張表，用戶表和權限表。如下是hsqldb中的建表語句：

create table users(1
    username varchar_ignorecase(50) not null primary key,
    password varchar_ignorecase(50) not null,
    enabled boolean not null
);

create table authorities (2
    username varchar_ignorecase(50) not null,
    authority varchar_ignorecase(50) not null,
    constraint fk_authorities_users foreign key(username) references users(username)
);

create unique index ix_auth_username on authorities (username,authority);3
        

1.users：用戶表。包含username用戶登陸名，password登錄密碼，enabled用戶是否被禁用三個字段。

其中username用戶登陸名爲主鍵。

 

2.authorities：權限表。包含username用戶登陸名，authorities對應權限兩個字段。

其中username字段與users用戶表的主鍵使用外鍵關聯。

3.對authorities權限表的username和authority建立惟一索引，提升查詢效率

Spring Security會在初始化時，從這兩張表中得到用戶信息和對應權限，將這些信息保存到緩存中。其中users表中的登陸名和密碼用來控制用戶的登陸，而權限表中的信息用來控制用戶登錄後是否有權限訪問受保護的系統資源。

咱們在示例中預先初始化了一部分數據：

insert into users(username,password,enabled) values('admin','admin',true);
insert into users(username,password,enabled) values('user','user',true);

insert into authorities(username,authority) values('admin','ROLE_ADMIN');
insert into authorities(username,authority) values('admin','ROLE_USER');
insert into authorities(username,authority) values('user','ROLE_USER');

這個實現和以前將用戶和用戶權限寫在配置文件中明顯方便不少。尤爲是用戶數量過多時。不過這種方法是保持最基本的表結構，也是默認的表結構。最好在理解原理基礎上自定義數據庫。（方法後續講到。）