1:导入Spring Security环境
(1)pom.xml中添加依赖
(2)web.xml添加代理过滤器
2:实现认证和授权
(1)认证:SpringSecurityUserService.java
(2)创建Service类、Dao接口类、Mapper映射文件
(3)springmvc.xml(dubbo注解扫描范围扩大)
(4)spring-security.xml
(5)springmvc.xml(导入spring-security.xml)
(6)TravelItemController类(@PreAuthorize("hasAuthority('CHECKITEM_ADD')"):完成权限)
(7)travelitem.html(如果没有权限,可以提示错误信息)
(8)导入login.html测试登录
3:显示用户名
4:用户退出
1.1导入Spring Security环境
【路径】
1:pom.xml导入坐标
2:web.xml添加代理过滤器
1.1.1.第一步:pom.xml导入坐标
在父工程的pom.xml中导入Spring Security的maven坐标
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
1.1.2.第二步:web.xml添加代理过滤器
在meinian_web工程的web,xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy
<filter>
<!--
DelegatingFilterProxy用于整合第三方框架(代理过滤器,非真正的过滤器,真正的过滤器需要在spring的配置文件)
整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
否则会抛出NoSuchBeanDefinitionException异常
-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1.1.3.第三步:sql语句
#1 使用登录名查询用户信息
SELECT * FROM t_user WHERE username='admin'
#2 传递用户id查询角色合集
SELECT r.* FROM t_role r, t_user_role ur WHERE ur.role_id = r.id AND ur.user_id=1
# 传递角色id查询权限集合
SELECT p.* FROM t_permission p, t_role_permisson rp WHERE p.id = rp.permission_id AND rp.role_id = 1
实现认证和授权
1.2.1.第一步:SpringSecurityUserService.java
在meinian_web工程中按照Spring Security框架要求提供SpringSecurityUserService,并且实现UserDetailsSercice接口
package com.atguigu.security;
import com.alibaba.dubbo.config.annotation.Reference;
import com.atguigu.pojo.Permission;
import com.atguigu.pojo.Role;
import com.atguigu.service.UserService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import java.util.HashSet;
import java.util.Set;
@Component
public class SpringSecurityUserService implements UserDetailsService {
@Reference
UserService userService; // 远程调用
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 1.查询用户信息,以及用户对应的角色,以及角色对应的权限
com.atguigu.pojo.User user = userService.findUserByUserName(username);
if (user==null){
// 不存在这个用户
return null;// 返回null给框架,框架会抛异常处理,跳转到登录页面
}
// 2.构建权限集合
Set<GrantedAuthority> authorities = new HashSet<>();
Set<Role> roles = user.getRoles(); //集合数据 由RoleDao帮忙方法来查询得到的
for (Role role : roles) {
Set<Permission> permissions = role.getPermissions(); // 集合数据 有 PermissionDao帮忙方法查询得到的
for (Permission permission : permissions) {
authorities.add(new SimpleGrantedAuthority(permission.getKeyword()));
}
}
org.springframework.security.core.userdetails.User securityUser =
new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities);
return securityUser; // 框架提供的User实现了UserDetails接口
}
}
1.2.2.第二步:Service、Dao接口、Mapper映射文件
创建UserService服务接口、服务实现类、Dao接口、Mapper映射文件
【路径】
1:UserService.java 接口
2:UserServiceImpl.java 类
3:UserDao.java(使用用户id查询用户)
4:RoleDao.java (使用用户id查询角色集合)
5:PermissionDao.java(使用角色id查询权限集合)
6:UserDao.xml(使用用户id查询用户)
7:RoleDao.xml(使用用户id查询角色集合)
8:PermissionDao.xml (使用角色id查询权限集合)
使用debug跟踪调试,查看user
1.2.3.第三步:springmvc.xml
修改meinian_web工程中的springmvc.xml文件,修改dubbo批量扫描的包路径
之前的扫描包
<!--批量扫描 -->
<dubbo:annotation package="com.atguigu.controller" />
现在的扫描包
<!--批量扫描, 范围要变大,不然扫描不到SpringSecurityUserService包-->
<dubbo:annotation package="com.atguigu" />
注意:
此处原来扫描的包为com.atguigu.controller,现在改为com.atguigu包的目的是需要将我们上面定义的SpringSecurityUserService也扫描到,因为在SpringSecurityUserService的loadUserByUsername方法中需要通过dubbo远程调用名称为UserService的服务
1.2.4.第四步:spring-security.xml
【路径】
1:定义哪些链接可以放行
2:定义哪些链接不可以方向,即需要有角色、权限才可以放行
3:认证管理,定义登录账号和密码,并授权访问的角色、权限
4:设置在页面可以通过iframe访问受保护的页面,默认为不允许默认访问,需要添加security:frame-optionspolicy=”SAMEORIGIN“
【讲解】
在meinian_web工程中提供spring-security.xml配置文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo
http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--静态资源放行 对css不做权限判断-->
<security:http security="none" pattern="/css/**"/>
<security:http security="none" pattern="/img/**"/>
<security:http security="none" pattern="/js/**"/>
<!-- <security:http security="none" pattern="/pages/**"/>-->
<security:http security="none" pattern="/template/**"/>
<security:http security="none" pattern="/plugins/**"/>
<security:http security="none" pattern="/login.html"/>
<!-- 对控制器中的方法提供注解的权限验证-->
<security:global-method-security pre-post-annotations="enabled"/>
<security:http auto-config="true" use-expressions="true">
<security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>
<security:form-login login-page="/login.html"
login-processing-url="/login.do"
username-parameter="username"
password-parameter="password"
default-target-url="/pages/main.html"
always-use-default-target="true"
authentication-failure-forward-url="/login.html"
/>
<!--禁用csrf的获取使用-->
<security:csrf disabled="true"/>
<security:logout logout-success-url="/login.html" logout-url="//www.greatytc.com/logout.do" invalidate-session="true"/>
<security:headers>
<!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
<security:frame-options policy="SAMEORIGIN"/>
</security:headers>
<security:access-denied-handler ref="customAccessDeniedHandler"/>
</security:http>
<!--认证authentication(登录)-->
<security:authentication-manager>
<!--使用userServiceImpl进行登录-->
<security:authentication-provider user-service-ref="userServiceImpl">
<security:password-encoder ref="bcry"/>
</security:authentication-provider>
</security:authentication-manager>
<bean id="bcry" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
</beans>
在spring-security.xml中添加
放置到 <security:http auto-config="true" use-expressions="true"> 里面
<security:headers>
<!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
<security:frame-options policy="SAMEORIGIN"/>
</security:headers>
因为我们在main.html中定义: 如果不配置springSecurity 会认为iframe访问的html页面时受保护的页面,不允许访问。
1.2.5.第五步: springmvc.xml
在springmvc,xml文件中引入spring-security.xml文件
<import resource="spring-security.xml"/>
1.2.6.第六步: TravelItemController 类 授权
在Controller的方法上加入权限 控制注解,此处以TravelItemController为例
@RequestMapping("/update")
@PreAuthorize("hasAuthority('TRAVELITEM_EDIT')") // 权限校验
public Result update(@RequestBody TravelItem travelItem){
try {
travelItemService.update(travelItem);
return new Result(true, MessageConstant.EDIT_TRAVELITEM_SUCCESS);
} catch (Exception e) {
e.printStackTrace();
return new Result(false, MessageConstant.EDIT_TRAVELITEM_FAIL);
}
}
1.2.7第七步: CustomAccessDeniedHandler类
添加页面,没有权限时提示信息设置
1.在<security:http>标签中增加<security:access-denied-handler>
<!-- 自定义异常处理类 -->
<security:access-denied-handler ref="customAccessDeniedHandler"/>
2.增加自定义处理类
@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
AccessDeniedException accessDeniedException) throws IOException, ServletException {
if (isAjaxRequest(request)) {// AJAX请求,使用response发送403
Result result = new Result(false, "无权访问","403");
String json = JSON.toJSONString(result);
response.getWriter().print(json);// 不要使用prinln方法,含有回车换行符
} else{// 同步请求处理
request.getRequestDispatcher("/pages/error/403.html").forward(request,response);
}
}
/**
* 判断是否为ajax请求
*/
public static boolean isAjaxRequest(HttpServletRequest request) {
if (request.getHeader("accept").indexOf("application/json") > -1
|| (request.getHeader("X-Requested-With") != null
&& request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest"))) {
return true;
}
return false;
}
3.增加/pages/error/403.html页面
1.2.8.第八步: 导入login.html页面
1.3.显示用户名
【路径】
1:引入js
2:定义username属性
3:使用钩子函数,调用ajax,查询登录用户(从SpringSecurity中获取),复制username属性
4:修改页面,使用{username}显示用户信息
【讲解】
前面我们已经完成了认证和授权操作,如果用户认证成功后需要在页面显示当前用户的用户名,Spring Security在认证成功后会将用户信息保存到框架提供的上下文对象中,所以此处我们就可以调用Spring Security框架提供的api获取当前用户的username 并展示到页面上
实现步骤:
第一步:在mian.html页面中修改,定义username模型数据基于VUE的数据展示用户名,发送Ajax请求获取username
(1):引入js
<scipt src ="../js/axios-0.18.0.js">
(2):定义username属性
(3):使用钩子函数,调用ajax
(4):修改页面
显示当前登录人
1.4用户退出
【路径】
1:在main,html中提供的退出菜单上加入超链接
2:在Spring-security.xml文件中配置
【讲解】
第一步:在main.html中提供的退出菜单上加入超链接
<el-dropdown-item divided>
<span style="display:block;"><a href="//www.greatytc.com/logout.do">退出</a></span>
</el-dropdown-item>
第二步:在Spring-security.xml文件中配置
<security:logout logout-url="//www.greatytc.com/logout.do" logout-success-url="/login.html" invalidate-session="true"/>
