Data

SpringBoot连接JDBC

连接数据库

  1. @SpringBootTest
  2. class DemoApplicationTests {
  4.     @Autowired
  5.     DataSource dataSource;
  7.     @Test
  8.     void contextLoads() throws SQLException {
  10.         //查看默认的数据源:class com.zaxxer.hikari.HikariDataSource
  11.         System.out.println(dataSource.getClass());
  13.         //获取数据库连接
  14.         Connection connection = dataSource.getConnection();
  16.         //xxx Template SpringBoot已经配置好的模板bean,拿来即用,CURD
  18.         connection.close();
  19.     }
  20. }

template来CURD

  1. @RestController
  2. public class JDBCController {
  3.     @Autowired
  4.     JdbcTemplate jdbcTemplate;
  6.     @GetMapping("/userList")
  7.     public List<Map<String,Object>> userList(){
  8.         String sql = "select * from tb_user";
  9.         List<Map<String, Object>> maps = jdbcTemplate.queryForList(sql);
  10.         return maps;
  11.     }
  13.     @GetMapping("/addUser")
  14.     public String addUser(){
  15.         String sql = "insert into test.tb_user(uid,username,password) values(1,'张三','123123') ";
  16.         jdbcTemplate.update(sql);
  17.         return "update-ok";
  18.     }
  19.     @GetMapping("/updateUser/{id}")
  20.     public String updateUser(@PathVariable("id") int id){
  21.         String sql = "update tb_user set username = ?, password = ? where uid = "+id;
  22.         //封装
  23.         Object[] objects = new Object[2];
  24.         objects[0] = "小米";
  25.         objects[1] = "32323";
  26.         jdbcTemplate.update(sql,objects);
  27.         return "update-ok";
  28.     }
  29.     @GetMapping("/deleteUser/{id}")
  30.     public String deleteUser(@PathVariable("id") int id){
  31.         String sql = "delete from tb_user where uid = ?";
  32.         jdbcTemplate.update(sql,id);
  33.         return "delete-ok";
  34.     }
  35. }

整合Druid数据源

DRUID简介

Druid是阿里巴巴开源平台上一个数据库连接池实现,结合了C3PO、DBCP、PROXOOL等 DB池的优点,同时加入了日志监控。
Druid可以很好的监控DB池连接和SQL的执行情况,天生就是针对监控而生的DB连接池。
Spring Boot 2.0以上默认使用Hikari数据源,可以说Hikari与Driud都是当前Java Web上最优秀的数据源,我们来重点介绍Spring Boot如何集成Druid数据源,如何实现数据库监控。

集成Druid

导入依赖

druid有日志监控的功能,所以同时导入filterslog4j
image.png

配置Druid

application.yaml:

  1. spring:
  2.   datasource:
  3.     driver-class-name: com.mysql.cj.jdbc.Driver
  4.     password: root
  5.     username: root
  6.     url: jdbc:mysql://localhost:3306/test?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
  7.     type: com.alibaba.druid.pool.DruidDataSource
  9.     #Spring Boot默认是不注入这些属性值的,需要自己绑定#druid数据源专有配置
  10.     initialsize: 5
  11.     minIdle: 5
  12.     maxActive: 20
  13.     maxWait: 60000
  14.     timeBetweenEvictionRunsMillis: 60000
  15.     minEvictableIdleTimeMillis: 300000
  16.     validationQuery: SELECT 1 FROM DUAL
  17.     testWhileIdle: true
  18.     test0nBorrow: false
  19.     testOnReturn: false
  20.     poolPreparedstatements: true
  22.     #配置监控统计拦截的fiLtersstat:监控统计、Log4j:日志记录、walL:防御sqL注入
  23.     #如果允许时报错java.Lang.CLassNotFoundException: org.apache.Log4j.priority
  24.     #则导入Log4j依赖即可,Maven 地址: https: / /mvnrepository.com/artifact/Log4j/Log4j
  25.     filters: stat,wall,log4j
  26.     maxPoolPreparedStatementPerConnectionSize: 20
  27.     useGlobalDataSourceStat: true
  28.     connectionProperties: druid.stat.mergesql=true;druid.stat.slowSq1Millis=500

定义配置类

  1. @Configuration
  2. public class DruidConfig {
  4.     @Bean
  5.     @ConfigurationProperties(prefix = "spring.datasource")
  6.     public DataSource druidDataSource(){
  7.         return new DruidDataSource();
  8.     }
  10.     //后台监控:web.xml
  11.     //因为SpringBoot内置了servlet容器,所有没有web.xml  替代方法:ServletRegistrationBean
  12.     @Bean
  13.     public ServletRegistrationBean statViewServlet(){
  14.         //这段代码是死的,写法固定
  15.         ServletRegistrationBean<StatViewServlet> bean = new ServletRegistrationBean<>(new StatViewServlet(), "/druid/*");
  17.         //后台需要有人登录,账号密码设置
  18.         HashMap<String,String> initParameters = new HashMap<>();
  20.         //登录的key是固定的,只能是loginUsername与loginPassword
  21.         initParameters.put("loginUsername","admin");
  22.         initParameters.put("loginPassword","123123");
  24.         //允许谁可以访问
  25.         initParameters.put("allow","");
  27.         //禁止谁访问
  28.         initParameters.put("zs","192.168.11.111");
  29.         //设置初始化参数
  30.         bean.setInitParameters(initParameters);
  31.         return bean;
  32.     }
  34.     @Bean
  35.     public FilterRegistrationBean webStatFilter(){
  37.         FilterRegistrationBean<Filter> bean = new FilterRegistrationBean<>();
  39.         bean.setFilter(new WebStatFilter());
  41.         //可以过滤哪些请求呢
  42.         HashMap<String,String> initParameters = new HashMap<>();
  44.         //这些东西不进行统计
  45.         initParameters.put("exclusion","*.js,*.css,/druid/*");
  47.         bean.setInitParameters(initParameters);
  49.         return bean;
  50.     }
  51. }

集成Mybatis

导入依赖

  1. <dependency>
  2.     <groupId>org.mybatis.spring.boot</groupId>
  3.     <artifactId>mybatis-spring-boot-starter</artifactId>
  4.     <version>2.2.2</version>
  5. </dependency>

配置mybatis

application.properties

  1. spring.datasource.password=root
  2. spring.datasource.username=root
  3. spring.datasource.url=jdbc:mysql://localhost:3306/test?serverTimezone=UTC&userUnicode=true&characterEncoding=utf-8
  4. spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
  6. #整合mybatis
  7. mybatis.type-aliases-package=com.example.jy.pojo
  8. mybatis.mapper-locations=classpath:mybatis/mapper/*.xml

mybatis配置类

  1. <?xml version="1.0" encoding="UTF-8" ?>
  2. <!DOCTYPE mapper
  3.         PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
  4.         "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
  5. <mapper namespace="com.example.jy.mapper.UserMapper">
  7.     <select id="queryList" resultType="User">
  8.         select * from tb_user;
  9.     </select>
  11.     <select id="queryListById" resultType="User">
  12.         select * from tb_user where uid=#{id};
  13.     </select>
  14. </mapper>

目录结构
image.png

Spring Security

简介

Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理!
记住几个类:

  • webSecurityConfigurerAdapter:自定义Security策略.
  • AuthenticationManagerBuilder:自定义认证策略.
  • @EnableWebSecurity:开启WebSecurity模式

Spring Security的两个主要目标是“认证”和“授权”(访问控制)。
“认证”(Authentication)
“授权”(Authorization)
这个概念是通用的,而不是只在Spring Security 中存在。
参考官网: https://spring.io/projects/spring-security,查看我们自己项目中的版本,找到对应的帮助文档:https://docs.spring.io/spring-security/site/docs/5.2.0.RELEASE/reference/htmlsingle

用户认证和授权

开端

  • 先导入thymeleaf的包,先不导入security的包

    1. <dependency>
    2.   <groupId>org.thymeleaf</groupId>
    3.   <artifactId>thymeleaf-spring5</artifactId>
    4.   <version>3.0.11.RELEASE</version>
    5.   <scope>compile</scope>
    6. </dependency>
    7. <dependency>
    8.   <groupId>org.thymeleaf.extras</groupId>
    9.   <artifactId>thymeleaf-extras-java8time</artifactId>
    10.   <version>3.0.4.RELEASE</version>
    11.   <scope>compile</scope>
    12. </dependency>

  • 建立一个路由控制类 ```java @Controller public class RouterController {

    @RequestMapping({“/“,”/index”}) public String index(){

    1.   return "index";

    } @RequestMapping({“/toLogin”}) public String toLogin(){

    1.   return "views/login";

    }

    @RequestMapping({“/level1/{id}”}) public String level1(@PathVariable(“id”) int id){

    1.   return "views/level1/" +id;

    } …… } }

  1. 此时访问`localhost:8080`,来到初始页面<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/21686270/1649245274054-d1682dcc-cdff-4229-8583-483c7cc7157b.png#clientId=u50c95929-012c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=393&id=uca1e1596&margin=%5Bobject%20Object%5D&name=image.png&originHeight=491&originWidth=1508&originalType=binary&ratio=1&rotation=0&showTitle=false&size=57496&status=done&style=none&taskId=u4ed89acb-957c-4717-8f0a-5cc5f339509&title=&width=1206.4)<br />此时点击任意一个level都是可以访问的<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/21686270/1649246969123-6c295e65-2581-4d6c-8089-aba52f4226f8.png#clientId=u50c95929-012c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=194&id=u9eab0318&margin=%5Bobject%20Object%5D&name=image.png&originHeight=242&originWidth=1122&originalType=binary&ratio=1&rotation=0&showTitle=false&size=18050&status=done&style=none&taskId=u5fb757b0-bfac-4c3e-a8f0-0007c5c1424&title=&width=897.6)
  2. <a name="xXlIg"></a>
  3. #### 终端
  5. - 导入`security`
  6. ```java
  7. <dependency>
  8.     <groupId>org.springframework.boot</groupId>
  9.     <artifactId>spring-boot-starter-security</artifactId>
  10. </dependency>
  • 配置securityconfig

授权与验证

  1. @EnableWebSecurity
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  4.     //链式编程
  5.     //授权
  6.     @Override
  7.     protected void configure(HttpSecurity http) throws Exception {
  8.         //首页所有人可以访问,功能页只有有对应权限的人才能访问
  9.         //请求授权的规则
  10.         http.authorizeRequests()
  11.                 .antMatchers("/").permitAll()
  12.                 .antMatchers("/level1/**").hasRole("vip1")
  13.                 .antMatchers("/level2/**").hasRole("vip2")
  14.                 .antMatchers("/level3/**").hasRole("vip3");
  16.         //没有权限默认到登录页,需要开启登录的页面
  17.         http.formLogin();
  18.     }
  20.     /**
  21.      * 认证 
  22.      * springboot 2.1.x以下可以直接使用,2.2.x及以上需要对密码加密
  23.      * 密码编码:PasswordEncoder
  24.      * Spring Security 5.0+ 新增了很多加密方法
  25.      */
  26.     @Override
  27.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  28.         //这些数据正常应该从数据库中读
  29.         auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
  30.                 .withUser("rose").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
  31.                 .and()
  32.                 .withUser("jack").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3");
  33.     }
  34. }

在配置授权规则之后,配置http.formLogin()之前,只能访问首页,无法访问任意一个level下的页面
配置http.formLogin()后,点击level下的页面会跳转到默认的login页面,如下图
image.png
在进行认证的配置后,未进行密码编码之前

  1. @Override
  2.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  3.         //这些数据正常应该从数据库中读
  4.         auth.inMemoryAuthentication()
  5.                 .withUser("rose").password("123456").roles("vip2","vip3")
  6.                 .and()
  7.                 .withUser("jack").password("123456").roles("vip1","vip2","vip3");
  8.     }

这样写在springboot 2.1.x以下是可以直接使用的,但这样是不安全的,比如被反编译,所以在2.2.x及以上需要对密码加密,否则会出现如下错误
image.png
进行密码编码后

  1. @Override
  2.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  3.         //这些数据正常应该从数据库中读
  4.         auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
  5.                 .withUser("rose").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
  6.                 .and()
  7.                 .withUser("jack").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3");
  8.     }

使用passwordEncoder(),有多种编码方式,任选一种,推荐new BCryptPasswordEncoder()

注销和权限控制

开启注销

image.png
开启注销后,不用再配置Controller,前端直接接收logout
image.png

不同权限展示不同页面

使用thymeleaf实现
导入包:
image.png
使用thymeleaf整合springSecurity,SpringBoot的版本至少需要是2.0.9以下,高版本不行

先实现通过判断是否登录来显示用户名
image.png

判断用户权限是否包含vip1来决定是否显示level1的页面,之后的同理
image.png

将登录界面换成自己的页面,同时开启记住我功能,关闭csrf攻击
image.png
点击登录后会通过/toLogin跳转到login.html自定义登录页面,loginProcessingUrl()这个方法可以看作一个中转站,前台界面提交表单之后跳转到这个路径进行User DetailsService的验证。此时登录页面的action需要和loginProcessUrl中参数一致
image.png
如果只使用loginPage,不使用loginProcessUrlaction中参数和loginPage一致
image.png

小结:

对于配置loginPage()方法和loginProcessingUrl()方法的同种场景:1、两者都不配置,则使用默认页面;2、只配置loginPage()方法,则使用自定义页面;3、只配置loginProcessingUrl()方法,则使用默认页面;4、两者都配置,则使用自定义页面(其中loginPage()方法为请求,loginProcessingUrl()方法为表单)。