SpringSecurity系列之CAS 單點(diǎn)登錄對接數(shù)據(jù)庫
1.整體思路
先來看整體思路。
我們用 CAS Server 做單點(diǎn)登錄,CAS Server 主要是負(fù)責(zé)認(rèn)證的,也就是它主要解決登錄問題。登錄成功之后,還有一個(gè)權(quán)限處理的問題,權(quán)限的問題則交由各個(gè) CAS Client 自行處理,并不在 CAS Server 中完成。
在上篇文章中,松哥有教過大家定義 UserDetailsService,不知道大家是否還記得如下代碼(忘記了可以參考上篇文章:Spring Boot 實(shí)現(xiàn)單點(diǎn)登錄的第三種方案!):
- @Component
- @Primary
- public class UserDetailsServiceImpl implements UserDetailsService{
- @Override
- public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
- return new User(s, "123", true, true, true, true,
- AuthorityUtils.createAuthorityList("ROLE_user"));
- }
- }
這段代碼是在什么時(shí)候執(zhí)行呢?
如果我們沒有使用 CAS 這一套的話,這段代碼當(dāng)然是在用戶登錄的時(shí)候執(zhí)行,用戶登錄時(shí),從數(shù)據(jù)庫中查詢用戶的信息,然后做校驗(yàn)(參考本系列前面文章就懂)。
如果我們使用 CAS 這一套,用戶登錄的校驗(yàn)將在 CAS Server 上執(zhí)行,CAS Client 就不用做校驗(yàn)工作了,但是為什么我們還需要定義 UserDetailsService 呢?這是為了當(dāng)用戶在 CAS Server 上登錄成功之后,拿著用戶名回到 CAS Client,然后我們再去數(shù)據(jù)庫中根據(jù)用戶名獲取用戶的詳細(xì)信息,包括用戶的角色等,進(jìn)而在后面的鑒權(quán)中用上角色。
好了,這是我們一個(gè)大致的思路,接下來我們來看具體實(shí)現(xiàn)。
2.具體實(shí)現(xiàn)
接下來的配置在 松哥手把手教你入門 Spring Boot + CAS 單點(diǎn)登錄 一文的基礎(chǔ)上完成,所以還沒看前面文章的小伙伴建議先看一下哦。
2.1 準(zhǔn)備工作
首先我們先在數(shù)據(jù)庫中準(zhǔn)備一下用戶表、角色表以及用戶角色關(guān)聯(lián)表:
- CREATE TABLE `t_role` (
- `id` bigint(20) NOT NULL AUTO_INCREMENT,
- `name` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
- `name_zh` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
- PRIMARY KEY (`id`)
- ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
- CREATE TABLE `t_user` (
- `id` bigint(20) NOT NULL AUTO_INCREMENT,
- `account_non_expired` bit(1) NOT NULL,
- `account_non_locked` bit(1) NOT NULL,
- `credentials_non_expired` bit(1) NOT NULL,
- `enabled` bit(1) NOT NULL,
- `password` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
- `username` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
- PRIMARY KEY (`id`)
- ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
- CREATE TABLE `t_user_roles` (
- `t_user_id` bigint(20) NOT NULL,
- `roles_id` bigint(20) NOT NULL,
- KEY `FKj47yp3hhtsoajht9793tbdrp4` (`roles_id`),
- KEY `FK7l00c7jb4804xlpmk1k26texy` (`t_user_id`),
- CONSTRAINT `FK7l00c7jb4804xlpmk1k26texy` FOREIGN KEY (`t_user_id`) REFERENCES `t_user` (`id`),
- CONSTRAINT `FKj47yp3hhtsoajht9793tbdrp4` FOREIGN KEY (`roles_id`) REFERENCES `t_role` (`id`)
- ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
- INSERT INTO `t_role` (`id`, `name`, `name_zh`) VALUES (1,'ROLE_admin','管理員'),(2,'ROLE_user','普通用戶');
- INSERT INTO `t_user` (`id`, `account_non_expired`, `account_non_locked`, `credentials_non_expired`, `enabled`, `password`, `username`) VALUES (1,b'1',b'1',b'1',b'1','123','javaboy'),(2,b'1',b'1',b'1',b'1','123','江南一點(diǎn)雨');
- INSERT INTO `t_user_roles` (`t_user_id`, `roles_id`) VALUES (1,1),(2,2);
2.2 CAS Server
然后我們要在 CAS Server 的 pom.xml 文件中添加兩個(gè)依賴:
- <dependency>
- <groupId>org.apereo.cas</groupId>
- <artifactId>cas-server-support-jdbc-drivers</artifactId>
- <version>${cas.version}</version>
- </dependency>
- <dependency>
- <groupId>org.apereo.cas</groupId>
- <artifactId>cas-server-support-jdbc</artifactId>
- <version>${cas.version}</version>
- </dependency>
注意這里不用添加數(shù)據(jù)庫驅(qū)動,系統(tǒng)會自動解決。
添加完成之后,再在 src/main/resources/application.properties 文件中添加如下配置:
- cas.authn.jdbc.query[0].url=jdbc:mysql://127.0.0.1:3306/withjpa?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false
- cas.authn.jdbc.query[0].user=root
- cas.authn.jdbc.query[0].password=123
- cas.authn.jdbc.query[0].sql=select * from t_user where username=?
- cas.authn.jdbc.query[0].fieldPassword=password
- cas.authn.jdbc.query[0].driverClass=com.mysql.cj.jdbc.Driver
- 前三行配置是數(shù)據(jù)庫基本連接配置,這個(gè)無需我多說。
- 第四行表示配置用戶查詢 sql,根據(jù)用戶名查詢出用戶的所有信息。
- 第五行表示數(shù)據(jù)庫中密碼的字段名字是什么。
- 第六行是數(shù)據(jù)庫驅(qū)動。
OK,配置完成后,接下來我們就來重啟 CAS Server:
- ./build.sh run
啟動成功后,瀏覽器輸入 https://cas.javaboy.org:8443/cas/login 就可以進(jìn)入登錄頁面了(注意是 https 哦):
此時(shí)登錄用戶名就是 javaboy,密碼是 123。
2.3 CAS Client
接下來我們再來看看 CAS Client 要做哪些完善。
接下來的配置在 Spring Boot 實(shí)現(xiàn)單點(diǎn)登錄的第三種方案! 一文的基礎(chǔ)上完成,所以還沒看前面文章的小伙伴建議先看一下哦。
同時(shí),為了案例簡潔,我這里使用 JPA 來操作數(shù)據(jù)庫,要是大家不熟悉這塊的操作,可以參考本系列之前的文章:Spring Security+Spring Data Jpa 強(qiáng)強(qiáng)聯(lián)手,安全管理只有更簡單!。
CAS Client 中的對接主要是實(shí)現(xiàn) UserDetailsService 接口。這里要用到數(shù)據(jù)庫查詢,所以我們首先添加數(shù)據(jù)庫相關(guān)依賴:
- <dependency>
- <groupId>mysql</groupId>
- <artifactId>mysql-connector-java</artifactId>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-data-jpa</artifactId>
- </dependency>
然后在 application.properties 中配置數(shù)據(jù)庫連接信息:
- spring.datasource.username=root
- spring.datasource.password=123
- spring.datasource.url=jdbc:mysql:///withjpa?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
- spring.jpa.database=mysql
- spring.jpa.database-platform=mysql
- spring.jpa.hibernate.ddl-auto=update
- spring.jpa.show-sql=true
- spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL8Dialect
都是常規(guī)配置,我們就不再重復(fù)解釋了。
接下來我們創(chuàng)建兩個(gè)實(shí)體類,分別表示用戶角色了用戶類:
用戶角色:
- @Entity(name = "t_role")
- public class Role {
- @Id
- @GeneratedValue(strategy = GenerationType.IDENTITY)
- private Long id;
- private String name;
- private String nameZh;
- //省略 getter/setter
- }
這個(gè)實(shí)體類用來描述用戶角色信息,有角色 id、角色名稱(英文、中文),@Entity 表示這是一個(gè)實(shí)體類,項(xiàng)目啟動后,將會根據(jù)實(shí)體類的屬性在數(shù)據(jù)庫中自動創(chuàng)建一個(gè)角色表。
用戶實(shí)體類:
- @Entity(name = "t_user")
- public class User implements UserDetails {
- @Id
- @GeneratedValue(strategy = GenerationType.IDENTITY)
- private Long id;
- private String username;
- private String password;
- private boolean accountNonExpired;
- private boolean accountNonLocked;
- private boolean credentialsNonExpired;
- private boolean enabled;
- @ManyToMany(fetch = FetchType.EAGER,cascade = CascadeType.PERSIST)
- private List<Role> roles;
- @Override
- public Collection<? extends GrantedAuthority> getAuthorities() {
- List<SimpleGrantedAuthority> authorities = new ArrayList<>();
- for (Role role : getRoles()) {
- authorities.add(new SimpleGrantedAuthority(role.getName()));
- }
- return authorities;
- }
- @Override
- public String getPassword() {
- return password;
- }
- @Override
- public String getUsername() {
- return username;
- }
- @Override
- public boolean isAccountNonExpired() {
- return accountNonExpired;
- }
- @Override
- public boolean isAccountNonLocked() {
- return accountNonLocked;
- }
- @Override
- public boolean isCredentialsNonExpired() {
- return credentialsNonExpired;
- }
- @Override
- public boolean isEnabled() {
- return enabled;
- }
- //省略其他 get/set 方法
- }
用戶實(shí)體類主要需要實(shí)現(xiàn) UserDetails 接口,并實(shí)現(xiàn)接口中的方法。
這里的字段基本都好理解,幾個(gè)特殊的我來稍微說一下:
- accountNonExpired、accountNonLocked、credentialsNonExpired、enabled 這四個(gè)屬性分別用來描述用戶的狀態(tài),表示賬戶是否沒有過期、賬戶是否沒有被鎖定、密碼是否沒有過期、以及賬戶是否可用。
- roles 屬性表示用戶的角色,User 和 Role 是多對多關(guān)系,用一個(gè) @ManyToMany 注解來描述。
- getAuthorities 方法返回用戶的角色信息,我們在這個(gè)方法中把自己的 Role 稍微轉(zhuǎn)化一下即可。
數(shù)據(jù)模型準(zhǔn)備好之后,我們再來定義一個(gè) UserDao:
- public interface UserDao extends JpaRepository<User,Long> {
- User findUserByUsername(String username);
- }
這里的東西很簡單,我們只需要繼承 JpaRepository 然后提供一個(gè)根據(jù) username 查詢 user 的方法即可。如果小伙伴們不熟悉 Spring Data Jpa 的操作,可以在公眾號后臺回復(fù) springboot 獲取松哥手敲的 Spring Boot 教程,里邊有 jpa 相關(guān)操作,也可以看看松哥錄制的視頻教程:Spring Boot + Vue 系列視頻教程。
在接下來定義 UserService ,如下:
- @Component
- @Primary
- public class UserDetailsServiceImpl implements UserDetailsService{
- @Autowired
- UserDao userDao;
- @Override
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- User user = userDao.findUserByUsername(username);
- if (user == null) {
- throw new UsernameNotFoundException("用戶不存在");
- }
- return user;
- }
- }
我們自己定義的 UserDetailsServiceImpl 需要實(shí)現(xiàn) UserDetailsService 接口,實(shí)現(xiàn)該接口,就要實(shí)現(xiàn)接口中的方法,也就是 loadUserByUsername。
OK ,如此之后,我們的 CAS Client 現(xiàn)在就開發(fā)完成了,接下來啟動 CAS Client,啟動成功后,瀏覽器輸入 http://client1.cas.javaboy.org:8080/user/hello 訪問 hello 接口,此時(shí)會自動跳轉(zhuǎn)到 CAS Server 上登錄,登錄的用戶名密碼就是我們存儲在數(shù)據(jù)庫中的用戶名密碼。登錄成功之后,經(jīng)過兩個(gè)重定向,會重新回到 hello 接口。
hello 接口訪問成功之后,再去訪問 /user/hello 接口,就會發(fā)現(xiàn)權(quán)限配置也生效了。
這里比較簡單,我就不給大家截圖了。
3.小結(jié)
好啦,今天主要和小伙伴們分享了一下 Spring Security + CAS 單點(diǎn)登錄中,如何使用本地?cái)?shù)據(jù)庫。一個(gè)核心的思路是,認(rèn)證由 CAS Server 來做,權(quán)限相關(guān)的操作,則還是由 Spring Security 來完成。
好了 ,本文就說到這里,本文相關(guān)案例我已經(jīng)上傳到 GitHub ,大家可以自行下載:https://github.com/lenve/spring-security-samples
本文轉(zhuǎn)載自微信公眾號「江南一點(diǎn)雨」,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系江南一點(diǎn)雨公眾號。
