如何使用Java中的認證和授權框架實現使用者的身份驗證和權限管理？-java教程-PHP中文網

如何使用Java中的認證和授權框架實現使用者的身份驗證和權限管理？

WBOY

發布： 2023-08-02 11:49:19

原創

1910 人瀏覽過

如何使用Java中的認證和授權框架來實現使用者的身份驗證和權限管理？

簡介：
在大多數應用程式中，使用者的身份驗證和權限管理是非常重要的功能。 Java中有許多認證和授權框架可供開發人員使用，如Spring Security、Shiro等。本文將重點放在如何使用Spring Security框架來實現使用者的身份驗證和權限管理。

一、Spring Security簡介
Spring Security是一個功能強大的安全框架，它是基於Spring框架的插件，可用於添加身份驗證和授權功能。 Spring Security提供了許多功能，如使用者認證、角色管理、權限管理等。

二、認證
認證是驗證使用者身分的過程。在Spring Security中，可以透過設定認證提供者來實現使用者的身份驗證。

設定檔
首先，需要在Spring設定檔中設定認證提供者。可以使用<authentication-manager>元素來定義認證提供者。

<authentication-manager>
    <authentication-provider user-service-ref="userDetailsService"/>
</authentication-manager>

登入後複製

自訂認證提供者
接下來，需要自訂一個使用者細節服務類，用於載入使用者的詳細信息，例如使用者名稱、密碼、角色等。可以實作UserDetailsService介面來實作這個類別。

@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found with username: " + username);
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), getAuthorities(user.getRoles()));
    }
    
    private Collection<? extends GrantedAuthority> getAuthorities(Collection<Role> roles) {
        return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());
    }
}

登入後複製

資料庫模型
也需要建立資料庫表來儲存使用者資訊。可以建立users和roles兩個表。

CREATE TABLE users (
    id BIGINT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL,
    password VARCHAR(100) NOT NULL
);

CREATE TABLE roles (
    id BIGINT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(50) NOT NULL
);

CREATE TABLE user_roles (
    user_id BIGINT,
    role_id BIGINT,
    FOREIGN KEY (user_id) REFERENCES users(id),
    FOREIGN KEY (role_id) REFERENCES roles(id),
    PRIMARY KEY (user_id, role_id)
);

登入後複製

使用者登入
將登入頁面設定為Spring Security的登入頁。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
    
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

登入後複製

三、授權
在使用者驗證成功後，可以使用Spring Security來進行權限管理。

設定檔
可以透過設定URL規則和存取權限，實現對特定URL的存取控制。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").access("hasRole('ADMIN')")
                .anyRequest().authenticated();
    }
}

登入後複製

註解授權
可以使用基於註解的方式進行授權。

@RestController
@RequestMapping("/api")
public class ApiController {
    @PreAuthorize("hasRole('USER')")
    @GetMapping("/users")
    public List<User> getUsers() {
        // code here
    }
    
    @PreAuthorize("hasRole('ADMIN')")
    @PostMapping("/user")
    public User createUser(@RequestBody User user) {
        // code here
    }
}

登入後複製

結論：
使用Spring Security，可以輕鬆實現使用者的身份驗證和權限管理。本文介紹如何使用Spring Security框架來配置認證和授權提供程序，透過自訂使用者細節服務類別和資料庫模型來進行使用者的認證，透過配置URL規則和註解進行權限管理。希望這篇文章對你理解和使用Java中的認證和授權框架有所幫助。

參考文獻：