[[409542]]

 1.整體思路

先來(lái)看整體思路。

我們用 CAS Server 做單點(diǎn)登錄，CAS Server 主要是負(fù)責(zé)認(rèn)證的，也就是它主要解決登錄問(wèn)題。登錄成功之后，還有一個(gè)權(quán)限處理的問(wèn)題，權(quán)限的問(wèn)題則交由各個(gè) CAS Client 自行處理，并不在 CAS Server 中完成。

在上篇文章中，松哥有教過(guò)大家定義 UserDetailsService，不知道大家是否還記得如下代碼(忘記了可以參考上篇文章：Spring Boot 實(shí)現(xiàn)單點(diǎn)登錄的第三種方案!)：

@Component 
@Primary 
public class UserDetailsServiceImpl implements UserDetailsService{ 
 
    @Override 
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { 
        return new User(s, "123", true, true, true, true, 
                AuthorityUtils.createAuthorityList("ROLE_user")); 
    } 
} 

這段代碼是在什么時(shí)候執(zhí)行呢?

如果我們沒(méi)有使用 CAS 這一套的話(huà)，這段代碼當(dāng)然是在用戶(hù)登錄的時(shí)候執(zhí)行，用戶(hù)登錄時(shí)，從數(shù)據(jù)庫(kù)中查詢(xún)用戶(hù)的信息，然后做校驗(yàn)(參考本系列前面文章就懂)。

如果我們使用 CAS 這一套，用戶(hù)登錄的校驗(yàn)將在 CAS Server 上執(zhí)行，CAS Client 就不用做校驗(yàn)工作了，但是為什么我們還需要定義 UserDetailsService 呢?這是為了當(dāng)用戶(hù)在 CAS Server 上登錄成功之后，拿著用戶(hù)名回到 CAS Client，然后我們?cè)偃?shù)據(jù)庫(kù)中根據(jù)用戶(hù)名獲取用戶(hù)的詳細(xì)信息，包括用戶(hù)的角色等，進(jìn)而在后面的鑒權(quán)中用上角色。

好了，這是我們一個(gè)大致的思路，接下來(lái)我們來(lái)看具體實(shí)現(xiàn)。

2.具體實(shí)現(xiàn)

接下來(lái)的配置在 松哥手把手教你入門(mén) Spring Boot + CAS 單點(diǎn)登錄 一文的基礎(chǔ)上完成，所以還沒(méi)看前面文章的小伙伴建議先看一下哦。

2.1 準(zhǔn)備工作

首先我們先在數(shù)據(jù)庫(kù)中準(zhǔn)備一下用戶(hù)表、角色表以及用戶(hù)角色關(guān)聯(lián)表：

CREATE TABLE `t_role` ( 
  `id` bigint(20) NOT NULL AUTO_INCREMENT, 
  `name` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL, 
  `name_zh` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL, 
  PRIMARY KEY (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; 
 
CREATE TABLE `t_user` ( 
  `id` bigint(20) NOT NULL AUTO_INCREMENT, 
  `account_non_expired` bit(1) NOT NULL, 
  `account_non_locked` bit(1) NOT NULL, 
  `credentials_non_expired` bit(1) NOT NULL, 
  `enabled` bit(1) NOT NULL, 
  `password` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL, 
  `username` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL, 
  PRIMARY KEY (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; 
 
CREATE TABLE `t_user_roles` ( 
  `t_user_id` bigint(20) NOT NULL, 
  `roles_id` bigint(20) NOT NULL, 
  KEY `FKj47yp3hhtsoajht9793tbdrp4` (`roles_id`), 
  KEY `FK7l00c7jb4804xlpmk1k26texy` (`t_user_id`), 
  CONSTRAINT `FK7l00c7jb4804xlpmk1k26texy` FOREIGN KEY (`t_user_id`) REFERENCES `t_user` (`id`), 
  CONSTRAINT `FKj47yp3hhtsoajht9793tbdrp4` FOREIGN KEY (`roles_id`) REFERENCES `t_role` (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci; 
 
INSERT INTO `t_role` (`id`, `name`, `name_zh`) VALUES (1,'ROLE_admin','管理員'),(2,'ROLE_user','普通用戶(hù)'); 
INSERT INTO `t_user` (`id`, `account_non_expired`, `account_non_locked`, `credentials_non_expired`, `enabled`, `password`, `username`) VALUES (1,b'1',b'1',b'1',b'1','123','javaboy'),(2,b'1',b'1',b'1',b'1','123','江南一點(diǎn)雨'); 
INSERT INTO `t_user_roles` (`t_user_id`, `roles_id`) VALUES (1,1),(2,2); 

2.2 CAS Server

然后我們要在 CAS Server 的 pom.xml 文件中添加兩個(gè)依賴(lài)：

<dependency> 
    <groupId>org.apereo.cas</groupId> 
    <artifactId>cas-server-support-jdbc-drivers</artifactId> 
    <version>${cas.version}</version> 
</dependency> 
<dependency> 
    <groupId>org.apereo.cas</groupId> 
    <artifactId>cas-server-support-jdbc</artifactId> 
    <version>${cas.version}</version> 
</dependency> 

注意這里不用添加數(shù)據(jù)庫(kù)驅(qū)動(dòng)，系統(tǒng)會(huì)自動(dòng)解決。

添加完成之后，再在 src/main/resources/application.properties 文件中添加如下配置：

cas.authn.jdbc.query[0].url=jdbc:mysql://127.0.0.1:3306/withjpa?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false 
cas.authn.jdbc.query[0].user=root 
cas.authn.jdbc.query[0].password=123 
cas.authn.jdbc.query[0].sql=select * from t_user where username=? 
cas.authn.jdbc.query[0].fieldPassword=password 
cas.authn.jdbc.query[0].driverClass=com.mysql.cj.jdbc.Driver 

• 前三行配置是數(shù)據(jù)庫(kù)基本連接配置，這個(gè)無(wú)需我多說(shuō)。
• 第四行表示配置用戶(hù)查詢(xún) sql，根據(jù)用戶(hù)名查詢(xún)出用戶(hù)的所有信息。
• 第五行表示數(shù)據(jù)庫(kù)中密碼的字段名字是什么。
• 第六行是數(shù)據(jù)庫(kù)驅(qū)動(dòng)。

OK，配置完成后，接下來(lái)我們就來(lái)重啟 CAS Server：

./build.sh run 

啟動(dòng)成功后，瀏覽器輸入 https://cas.javaboy.org:8443/cas/login 就可以進(jìn)入登錄頁(yè)面了(注意是 https 哦)：

此時(shí)登錄用戶(hù)名就是 javaboy，密碼是 123。

2.3 CAS Client

接下來(lái)我們?cè)賮?lái)看看 CAS Client 要做哪些完善。

接下來(lái)的配置在 Spring Boot 實(shí)現(xiàn)單點(diǎn)登錄的第三種方案! 一文的基礎(chǔ)上完成，所以還沒(méi)看前面文章的小伙伴建議先看一下哦。

同時(shí)，為了案例簡(jiǎn)潔，我這里使用 JPA 來(lái)操作數(shù)據(jù)庫(kù)，要是大家不熟悉這塊的操作，可以參考本系列之前的文章：Spring Security+Spring Data Jpa 強(qiáng)強(qiáng)聯(lián)手，安全管理只有更簡(jiǎn)單!。

CAS Client 中的對(duì)接主要是實(shí)現(xiàn) UserDetailsService 接口。這里要用到數(shù)據(jù)庫(kù)查詢(xún)，所以我們首先添加數(shù)據(jù)庫(kù)相關(guān)依賴(lài)：

<dependency> 
    <groupId>mysql</groupId> 
    <artifactId>mysql-connector-java</artifactId> 
</dependency> 
<dependency> 
    <groupId>org.springframework.boot</groupId> 
    <artifactId>spring-boot-starter-data-jpa</artifactId> 
</dependency> 

然后在 application.properties 中配置數(shù)據(jù)庫(kù)連接信息：

spring.datasource.username=root 
spring.datasource.password=123 
spring.datasource.url=jdbc:mysql:///withjpa?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai 
 
spring.jpa.database=mysql 
spring.jpa.database-platform=mysql 
spring.jpa.hibernate.ddl-auto=update 
spring.jpa.show-sql=true 
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL8Dialect 

都是常規(guī)配置，我們就不再重復(fù)解釋了。

接下來(lái)我們創(chuàng)建兩個(gè)實(shí)體類(lèi)，分別表示用戶(hù)角色了用戶(hù)類(lèi)：

用戶(hù)角色：

@Entity(name = "t_role") 
public class Role { 
    @Id 
    @GeneratedValue(strategy = GenerationType.IDENTITY) 
    private Long id; 
    private String name; 
    private String nameZh; 
    //省略 getter/setter 
} 

這個(gè)實(shí)體類(lèi)用來(lái)描述用戶(hù)角色信息，有角色 id、角色名稱(chēng)(英文、中文)，@Entity 表示這是一個(gè)實(shí)體類(lèi)，項(xiàng)目啟動(dòng)后，將會(huì)根據(jù)實(shí)體類(lèi)的屬性在數(shù)據(jù)庫(kù)中自動(dòng)創(chuàng)建一個(gè)角色表。

用戶(hù)實(shí)體類(lèi)：

@Entity(name = "t_user") 
public class User implements UserDetails { 
    @Id 
    @GeneratedValue(strategy = GenerationType.IDENTITY) 
    private Long id; 
    private String username; 
    private String password; 
    private boolean accountNonExpired; 
    private boolean accountNonLocked; 
    private boolean credentialsNonExpired; 
    private boolean enabled; 
    @ManyToMany(fetch = FetchType.EAGER,cascade = CascadeType.PERSIST) 
    private List<Role> roles; 
    @Override 
    public Collection<? extends GrantedAuthority> getAuthorities() { 
        List<SimpleGrantedAuthority> authorities = new ArrayList<>(); 
        for (Role role : getRoles()) { 
            authorities.add(new SimpleGrantedAuthority(role.getName())); 
        } 
        return authorities; 
    } 
    @Override 
    public String getPassword() { 
        return password; 
    } 
 
    @Override 
    public String getUsername() { 
        return username; 
    } 
 
    @Override 
    public boolean isAccountNonExpired() { 
        return accountNonExpired; 
    } 
 
    @Override 
    public boolean isAccountNonLocked() { 
        return accountNonLocked; 
    } 
 
    @Override 
    public boolean isCredentialsNonExpired() { 
        return credentialsNonExpired; 
    } 
 
    @Override 
    public boolean isEnabled() { 
        return enabled; 
    } 
    //省略其他 get/set 方法 
} 

用戶(hù)實(shí)體類(lèi)主要需要實(shí)現(xiàn) UserDetails 接口，并實(shí)現(xiàn)接口中的方法。

這里的字段基本都好理解，幾個(gè)特殊的我來(lái)稍微說(shuō)一下：

• accountNonExpired、accountNonLocked、credentialsNonExpired、enabled 這四個(gè)屬性分別用來(lái)描述用戶(hù)的狀態(tài)，表示賬戶(hù)是否沒(méi)有過(guò)期、賬戶(hù)是否沒(méi)有被鎖定、密碼是否沒(méi)有過(guò)期、以及賬戶(hù)是否可用。
• roles 屬性表示用戶(hù)的角色，User 和 Role 是多對(duì)多關(guān)系，用一個(gè) @ManyToMany 注解來(lái)描述。
• getAuthorities 方法返回用戶(hù)的角色信息，我們?cè)谶@個(gè)方法中把自己的 Role 稍微轉(zhuǎn)化一下即可。

數(shù)據(jù)模型準(zhǔn)備好之后，我們?cè)賮?lái)定義一個(gè) UserDao：

public interface UserDao extends JpaRepository<User,Long> { 
    User findUserByUsername(String username); 
} 

這里的東西很簡(jiǎn)單，我們只需要繼承 JpaRepository 然后提供一個(gè)根據(jù) username 查詢(xún) user 的方法即可。如果小伙伴們不熟悉 Spring Data Jpa 的操作，可以在公眾號(hào)后臺(tái)回復(fù) springboot 獲取松哥手敲的 Spring Boot 教程，里邊有 jpa 相關(guān)操作，也可以看看松哥錄制的視頻教程：Spring Boot + Vue 系列視頻教程。

在接下來(lái)定義 UserService ，如下：

@Component 
@Primary 
public class UserDetailsServiceImpl implements UserDetailsService{ 
 
    @Autowired 
    UserDao userDao; 
    @Override 
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 
        User user = userDao.findUserByUsername(username); 
        if (user == null) { 
            throw new UsernameNotFoundException("用戶(hù)不存在"); 
        } 
        return user; 
    } 
} 

我們自己定義的 UserDetailsServiceImpl 需要實(shí)現(xiàn) UserDetailsService 接口，實(shí)現(xiàn)該接口，就要實(shí)現(xiàn)接口中的方法，也就是 loadUserByUsername。

OK ，如此之后，我們的 CAS Client 現(xiàn)在就開(kāi)發(fā)完成了，接下來(lái)啟動(dòng) CAS Client，啟動(dòng)成功后，瀏覽器輸入 http://client1.cas.javaboy.org:8080/user/hello 訪(fǎng)問(wèn) hello 接口，此時(shí)會(huì)自動(dòng)跳轉(zhuǎn)到 CAS Server 上登錄，登錄的用戶(hù)名密碼就是我們存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶(hù)名密碼。登錄成功之后，經(jīng)過(guò)兩個(gè)重定向，會(huì)重新回到 hello 接口。

hello 接口訪(fǎng)問(wèn)成功之后，再去訪(fǎng)問(wèn) /user/hello 接口，就會(huì)發(fā)現(xiàn)權(quán)限配置也生效了。

這里比較簡(jiǎn)單，我就不給大家截圖了。

3.小結(jié)

好啦，今天主要和小伙伴們分享了一下 Spring Security + CAS 單點(diǎn)登錄中，如何使用本地?cái)?shù)據(jù)庫(kù)。一個(gè)核心的思路是，認(rèn)證由 CAS Server 來(lái)做，權(quán)限相關(guān)的操作，則還是由 Spring Security 來(lái)完成。

好了 ，本文就說(shuō)到這里，本文相關(guān)案例我已經(jīng)上傳到 GitHub ，大家可以自行下載:https://github.com/lenve/spring-security-samples

本文轉(zhuǎn)載自微信公眾號(hào)「江南一點(diǎn)雨」，可以通過(guò)以下二維碼關(guān)注。轉(zhuǎn)載本文請(qǐng)聯(lián)系江南一點(diǎn)雨公眾號(hào)。