|
????????让 Spring Security 适应系统,而非让系统适应 Spring Security,是 Spring Security 框架开发者和使用者的共识。
????????下面我们将使用自定义数据库模型接入Spring Security,数据库依然是 MySQL ,持久层框架则选用 MyBatis(倾向于使用 JPA 的读者也可以自行选型,它们在 Spring Security 部分的实践是一样的)。旁枝末节的知识会点到即止,我们重点介绍 Spring Security 相关的内容,所以期望读者自行阅读相关资料,也可以选择暂时略过。
一、自定义数据库模型的认证和授权:
1、实现 UserDetails:
????????在上一篇文章种我们使用了 InMemoryUserDetailsManager 和 JdbcUserDetailsManager 两个 UserDetailsService 实现类。生效方式也很简单,只需加入 Spring 的 IoC 容器,就会被 Spring Security 自动发现并使用。自定义数据库结构实际上也仅需实现一个自定义的 UserDetailsService。
????????UserDetailsService 仅定义了一个 loadUserByUsername 方法,用于获取一个 UserDetails 对象。 UserDetails 对象包含了一系列在验证时会用到的信息,包括用户名、密码、权限以及其他信息,Spring Security 会根据这些信息判定验证是否成功。UserDetails 的源码内容如下所示:
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
????????也就是说,不管数据库结构如何变化,只要能构造一个 UserDetails 即可,下面就来实现这个过程。
|