中软国际（宁波）中软实习第七日上午学习记录（主要内容：权限控制、springSecurity）

本文记述今天上午所学习的内容，主要内容为：权限控制，springSecurity

所用到的软件

• IntelliJ IDEA 2018.2.2 x64
• jdk1.8
• apache-tomcat-7.0.94
• apache-maven-3.6.0
• Webyog-SQLyog-Ultimate12.0.8.0
• mysql-5.5.58-winx64

前提：

已经用IDEA+Maven+SSM框架实现了一个页面上的普通的登陆，登陆成功后要打开的主界面已经写好（项目已经有一定程度的完成了，下面描述的是在这个项目的基础上添加权限控制的步骤）。

步骤：

导入jar包：

在项目下的pom.xml文件中分别加入以下两段内容：

5.0.1.RELEASE

	
        org.springframework.security
        spring-security-web
        ${spring.security.version}
    
    
        org.springframework.security
        spring-security-config
        ${spring.security.version}
    
    
        org.springframework.security
        spring-security-core
        ${spring.security.version}
    
    
        org.springframework.security
        spring-security-taglibs
        ${spring.security.version}
    

前者加入到properties中用来声明版本，后者加入到dependencies中用来声明引入的jar包

接着在WEB-INF目录下的web.xml文件中添加过滤器，即在该文件中添加代码如下

    springSecurityFilterChain
    org.springframework.web.filter.DelegatingFilterProxy
  
  
    springSecurityFilterChain
    /*
  

写spring-security.xml核心配置文件：
然后在ssm_web子项目下的resources目录下写spring-security.xml核心配置文件，内容如下

加载springSecurity.xml：
接着在web.xml 里面加载springSecurity.xml，方法是在该文件中的context-param中的param-value新增classpath：spring-security.xml，如下图

在数据库中新建表role和users_role：
然后，在数据库中新建表role和users_role。前者是角色的种类，后者是记录不同的用户拥有哪些角色（一条记录代表某个用户拥有某个角色，该用户所有记录表示他所拥有的角色集合）。

新建实体类Role：
新建实体类Role，它代表角色，拥有id、roleName、roleDesc三个属性，并且有这三个属性的get、set方法和toString方法。

实现Role的dao层：
在ssm_dao子模块中的dao包下创建IRoleDao接口，再在ssm_dao子模块的resource目录中新建RoleMapper.xml文件用来实现IRoleDao中的操作。
现在Role需要一个根据用户id来查询他的拥有角色的方法，所以要在dao层中写一个：
IRoleDao类中写：

public interface IRoleDao {
    public List findRolebyUserId (int userId);
}

RoleMapper中写：

 
        select * from role where id in (select  roleId from users_role where userId=#{userId})
    

写loadUserByUsername方法：
接着让IUserService 接口实现UserDetailsService，并在UserService中重写loadUserByUsername方法，在登陆时将调用此方法，根据用户名确认此用户的id，再通过id得到此用户的角色集，接下来在页面的显示控制中将会用上。

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo=userDao.queryByName(username);
        User user=null;
        if(userInfo!=null)
        {
            List roles=  roleDao.findRolebyUserId(userInfo.getId());
            userInfo.setRoles(roles);
            user=new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),getAuthority(roles));
        }
        return user;
    }

    private  List getAuthority(List roles){
        List list =new ArrayList<>();
        for(Role role:roles){
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return list;
    }

页面显示控制：
接下来在登陆成功后显示的主页面中有一个“用户管理”选项，只有拥有身份“ADMIN”的用户才能显示出来。要完成这个控制，需要在页面的jsp文件中，用security:authorize标签将该选项包括起来，并设置access属性为"hasRole(‘ADMIN’)"。代码如下：

	  用户管理
	

测试：
下面为两个不同用户登陆之后主页面的显示情况，用户1具有ADMIN身份，但用户2没有。