实现权限框架——Spring-Security的使用

本文介绍如何使用 Spring Security 框架实现权限管理,包括导入依赖、配置过滤器及 XML 文件等步骤,并详细解释如何配置登录页面、权限验证等关键环节。

实现权限框架——Spring-Security的使用

基本概念

Spring-Security 是spring 项目组中提供安全认证服务的框架(过滤器类型),它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。

操作步骤

1. 导入jar包

在pom.xml的 properties 中添加版本号

<!--spring security版本    -->
    <spring.security.version>5.0.1.RELEASE</spring.security.version>

将下列代码加入到pom.xml中
(pom.xml主要描述了项目的maven坐标,依赖关系,开发者需要遵循的规则,缺陷管理系统,组织和licenses,以及其他所有的项目相关因素,是项目级别的配置文件。)

        <spring security 架包>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

2.在web.xml文件中添加过滤器

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        
        <!--     filter-class指明过滤器类所在的包路径   -->
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        
    </filter>
    
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        
        <!--       url-pattren处定义过滤器作用的对象 /*拦截所有路径 -->
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3. 新建 Spring-Security.xml
在resources下新建 Spring-Security.xml:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->
</beans>


注:
1.需要设置登陆页面,报错页面,样式,图片不拦截
2.相关页面设置

        login-page="/login.jsp"                  //登录页面
        login-processing-url="/login.do"    //登录方法
        default-target-url="/index.jsp"      //默认页面
        authentication-failure-url="/failer.jsp"    //默认报错页面
        authentication-success-forward-url="/pages/main.jsp"/>  //默认成功后进入页面

3.service里必须要有userService类

<!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">

4.在web.xml中加载配置文件
引入配置web.xml中

<!-- 配置加载类路径的配置文件 -->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:applicationContext.xml,classpath*:spring-security.xml</param-value>
  </context-param>

5.修改数据库
添加表role:(id:主键√ 非空√ unsigned√)
在这里插入图片描述
在这里插入图片描述
USER和ADMIN要与<security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>中相对应(也可以自己添加角色)`

添加表user_role(第三方关系表,里面两列是两个表的主键)
在这里插入图片描述
erere ewreaaa
(一个用户可以有多个角色)

6.创建role实体类
在bean下新建Role.class

public class Role {
    private int id;
    private String roleName;
    private  String roleDesc;



    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getRoleName() {
        return roleName;
    }

    public void setRoleName(String roleName) {
        this.roleName = roleName;
    }

    public String getRoleDesc() {
        return roleDesc;
    }

    public void setRoleDesc(String roleDesc) {
        this.roleDesc = roleDesc;
    }

    @Override
    public String toString() {
        return "Role{" +
                "id=" + id +
                ", roleName='" + roleName + '\'' +
                ", roleDesc='" + roleDesc + '\'' +
                '}';
    }
}

7.编写Dao层
在Dao下新建RoleDao接口

public interface RoleDao {
    //在role表中,根据userId查询出当前的用户
    List<Role> findRoleByUserId(int userId);
}

8.编写mapper
新建RoleMapper:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.zhongruan.dao.RoleDao" >

 <!-- 查询全部 -->
<!-- resultType输出类型映射 -->
  <select id ="findRoleByUserId" parameterType="java.lang.Integer" resultType="com.zhongruan.bean.role">
    select * from tb_role where id in(select roleId from tb_user_role where userId=#{userId})
</select>


</mapper>

1.findRoleByUserId既有参数(int):arameterType=“java.lang.Integer” ,
又有返回值:resultType=“com.zhongruan.bean.role”

9.UserService继承UserDetialsService

①UserInfoService继承UserDetailsService

public interface UserInfoService extends UserDetailsService {... ...}

②service注解(userService要与Spring-Security.xml中<security:authentication-provider user-service-ref="userService">对应)

//当Spring要创建UserServiceImpl的的实例时,bean的名字必须叫做"userService",
//这样当Action需要使用UserServiceImpl的的实例时,就可以由Spring创建好的"userService",
//然后注入给Action
@Service("userService")
public class UserInfoServiceImpl implements UserInfoService {... ...}

③注如注解

@Autowired
    private RoleDao roleDao;

④将属性注入userInfo

 private List<Role> roleList;

    public List<Role> getRoleList() {
        return roleList;
    }

    public void setRoleList(List<Role> roleList) {
        this.roleList = roleList;
    }

⑤编写实现

   public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询当前登录的用户信息
        UserInfo userInfo = userDao.doLogin(username);
        //2.查询当前的用户有多少角色
        List<Role> roleList = roleDao.findRoleByUserId(userInfo.getId());
        //3.需要把角色给放入用户中
        userInfo.setRoleList(roleList);
        //4.把查询到的User和Role数据给到Spring-security中的内置对象User来管理
        User user=new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),getAuthority(userInfo.getRoleList()));
        return null;
    }

    private Collection<? extends GrantedAuthority> getAuthority(List<Role> roleList) {

        List<SimpleGrantedAuthority> List=new ArrayList<>();
        for (Role role:roleList){
            List.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return List;
    }

???

⑥aside.jsp
在aside.jsp中放置头标签如下:


<%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

取当前用户信息<security:authentication property="principal.username"></security:authentication>放到aside.jsp中

<div class="pull-left info">
				<security:authentication property="principal.username"></security:authentication>
				<a href="#"><i class="fa fa-circle text-success"></i> &nbsp;&nbsp;&nbsp;&nbsp;在线</a>
			</div>

不同用户显示不同页面

<ul class="treeview-menu">
					<li id="system-setting">
						<security:authorize access="hasRole('ADMIN')">
						<a
						href="${pageContext.request.contextPath}/user/findAll.do?page=1&size=5"> <i
							class="fa fa-circle-o"></i> 用户管理
					</a>
					</security:authorize>
					</li>
					<li id="system-setting"><a
						href="#"> <i
							class="fa fa-circle-o"></i> 角色管理
					</a></li>

				</ul>

接下来可以注释掉controller中的登录方法。
修改login.jsp中的登陆路径为login.do

<form action="${pageContext.request.contextPath}/login.do" method="post">
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值