前面有一篇文章Spring+Spring Security+OAuth2实现REST API权限控制,讲了Spring+Spring Security+OAuth2来实现REST API权限控制,出于快速实现的原因,里面的用户信息和认证token都是保存在内存中。这样并不符合实际项目场景。所以,这篇文章就是讲述如何从数据库中加载用户信息,并且将认证token保存在redis中。

源码地址:https://github.com/li5454yong/springboot-security-oauth2.git 首先来看项目结构


这个项目中用到了三张表,运行项目会自动在数据库建立这三张表。

1、pom依赖

 

XHTML

 

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.4.4.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
 
    <repositories>
        <repository>
            <id>aliyunRepository</id>
            <name>myRepository</name>
            <url>http://maven.aliyun.com/nexus/content/groups/public/</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
    </repositories>
 
    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <java.version>1.7</java.version>
        <spring-security-oauth2.version>2.0.3.RELEASE</spring-security-oauth2.version>
    </properties>
 
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
 
    </dependencies>

 

相对于Spring的集成,这里去除了Spring的依赖,引入了Spring Boot的依赖、Spring data JPA依赖、redis依赖。

2、自定义UserDetailService

 

Java

 

/**
* Created by lxg
* on 2017/2/20.
*/
public class MyUserDetailsService implements UserDetailsService {
 
    @Autowired
    private UserService userService;
 
    @Autowired
    private UserRoleService userRoleService;
    /**
     * 根据用户名获取登录用户信息
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.findByUsername(username);
        if(user == null){
             throw new UsernameNotFoundException("用户名:"+ username + "不存在!");
        }
        Collection<SimpleGrantedAuthority> collection = new HashSet<SimpleGrantedAuthority>();
        Iterator<String> iterator =  userRoleService.findRoles(user.getId()).iterator();
        while (iterator.hasNext()){
            collection.add(new SimpleGrantedAuthority(iterator.next()));
        }
 
        return new org.springframework.security.core.userdetails.User(username,user.getPassword(),collection);
    }
}

 

这里只需要实现UserDetailsService接口,实现loadUserByUsername方法,通过用户名来获取到用户的信息。如果用户不存在可以抛出UsernameNotFoundException。然后通过userid来获取用户角色。因为一个用户可能会拥有多个角色,所以这里返回的是一个List。最后返回的是一个org.springframework.security.core.userdetails.User对象,里面包含了用户名、密码、角色。也可以根据自己需要去设置用户是否被锁定、是否可用等信息。

3、Security配置

 

Java

 

/**
* security配置
*
* @author lxg
*
* 2017年2月17日上午11:13:55
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
 
@Autowired
private ClientDetailsService clientDetailsService;
 
@Autowired
private RedisConnectionFactory redisConnection;
 
@Bean
public MyUserDetailsService myUserDetailsService(){
return new MyUserDetailsService();
}
@Autowired
    public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
        auth
.userDetailsService(myUserDetailsService())
.passwordEncoder(new Md5PasswordEncoder());
    }
 
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
http
.anonymous().disable()
   .authorizeRequests()
   .antMatchers("/oauth/token").permitAll();
    }
 
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
 
 
@Bean
public TokenStore tokenStore() {
return new RedisTokenStore(redisConnection);
}
 
@Bean
@Autowired
public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore tokenStore){
TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
handler.setTokenStore(tokenStore);
handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));
handler.setClientDetailsService(clientDetailsService);
return handler;
}
@Bean
@Autowired
public ApprovalStore approvalStore(TokenStore tokenStore) throws Exception {
TokenApprovalStore store = new TokenApprovalStore();
store.setTokenStore(tokenStore);
return store;
}
}

 

只要在这里面实例化MyUserDetailService,然后通过AuthenticationManagerBuilderuserDetailsService方法,设置进去就OK了。passwordEncoder方法设置的是用户密码的加密方式,这里设置的是MD5加密,所以用户从前端登录时传过来的密码,在使用Security验证时会自动使用MD5加密。

4、redis配置

 

TeX

 

# Redis数据库索引(默认为0)
spring.redis.database=1
# Redis服务器地址
spring.redis.host=192.168.0.12
# Redis服务器连接端口
spring.redis.port=6379
# Redis服务器连接密码(默认为空)
spring.redis.password=
# 连接池最大连接数(使用负值表示没有限制)
spring.redis.pool.max-active=8
# 连接池最大阻塞等待时间(使用负值表示没有限制)
spring.redis.pool.max-wait=-1
# 连接池中的最大空闲连接
spring.redis.pool.max-idle=8
# 连接池中的最小空闲连接
spring.redis.pool.min-idle=0
# 连接超时时间(毫秒)
spring.redis.timeout=0

 

Spring Boot中集成Redis非常简单,只需要引入spring-boot-starter-redis依赖包,然后配置上链接信息就行了,Spring Boot的约束优于配置比起Spring着实方便不少。不知道Spring如何集成Redis的这里有一个集成的Demo,可以拿去参考一下。https://github.com/li5454yong/spring-redis.git

5、RedisTokenStore配置

 

Java

 

@Autowired
private RedisConnectionFactory redisConnection;
 
@Bean
public TokenStore tokenStore() {
return new RedisTokenStore(redisConnection);
}

 

TokenStore默认有四种实现,我们这里使用的是RedisTokenStore,他的构造方法中需要一个redis链接工厂。我们直接将Spring容器管理的redisConnectionFactory注入进来即可。

6、测试

这里的测试和Spring集成的测试方法一样,这里就不在赘述,不明白的可以参考上一篇文章。

7、踩坑

2017-09-09更新
一些朋友在使用demo时遇到几个问题,发现有一些地方没说清楚,这里更新一下。

1、密码加密问题

 

Java

 

@Autowired
    public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
        auth
.userDetailsService(myUserDetailsService())
.passwordEncoder(new Md5PasswordEncoder());
    }

代码中已经配置了密码使用MD5加密,所以使用demo时,插入到数据库的密码要使用MD5加密一样。

如果你想使用其他的方式加密也是可以的,spring security提供了一下几种加密

2、测试接口访问时提示没有权限。
Spring Security默认的角色前缀是”ROLE_”,使用hasRole方法时已经默认加上了,因此我们在数据库里面的用户角色应该是“ROLE_user”,在user前面加上”ROLE_”前缀