Spring Security users-by-username-query with id_user

Question

我想使用 Spring Security，但我以前从未使用过它。我想从我的表中检索用户和角色（用户、角色和 user_roles）。我已经调查了 users-by-username-query 。在所有示例中都与以下示例相同。

<authentication-manager>
  <authentication-provider>
    <jdbc-user-service data-source-ref="dataSource"
      users-by-username-query=
        "select username,password, enabled from users where username=?"
      authorities-by-username-query=
        "select username, role from user_roles where username =?  " />
  </authentication-provider>
</authentication-manager>

但我想使用 id_user 和 id_role 而不是 username 和 role。可能吗 ？我必须更改登录页面字段名称吗？ 在此先感谢

Answer 1

对于字符串启动 2 是这样工作的

package com.gkatzioura.spring.security.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import javax.sql.DataSource;


@Configuration
@EnableWebSecurity
public class PasswordEncodedSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.jdbcAuthentication().dataSource(dataSource)
                //.passwordEncoder(new BCryptPasswordEncoder())
                .passwordEncoder(passwordEncoder())
                .usersByUsernameQuery("select username,password,enabled from users where username =?")
                .authoritiesByUsernameQuery(" select u.username, r.name from users u join user_role ur on u.id = ur.user_id " +
                        " join role r on ur.role_id = r.id where u.username =?");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .antMatchers("/public").permitAll()
                .anyRequest().authenticated()
                .and().formLogin().permitAll()
                .and().logout() .permitAll();
    }
    
    
    @Bean
    public PasswordEncoder passwordEncoder(){
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        return passwordEncoder;
    }
    

}

Answer 2

这是一种常见的情况。

首先，正如我在 cmets 中建议的那样，使用别名来重命名代表用户名、密码以及用户是否启用的字段。就像这样：

users-by-username-query=
  "select user.user_login as username, user.user_pwd as password, user.user_enabled as enabled 
  from user where user.user_login=?"

然后，通常也将authorities 放在与user 表相关的不同表中。这是一种常见的情况：

用户与n-to-n 关系中的角色相关。

在这种情况下，authorities-by-username-query 应该是这样的

 authorities-by-username-query=
        "SELECT users.name as username, roles.role as role 
        FROM users 
        INNER JOIN user_role ON users.id_user = user_role.id_user 
        INNER JOIN roles ON user_role.id_role = roles.id_role
        WHERE users.name = ?  "

作为测试，对于包含此数据的一组表：

用户：

角色：

用户角色

对于收到的用户名jlumietu，结果应该是这样的：

最后，我遇到了一些扩展 org.springframework.security.authentication.dao.DaoAuthenticationProvider 的案例，但我认为这是进行此类处理的最简单方法