JavaWeb笔记(31)-Spring Security

1. Spring Security的前身是Acegi Security，是 Spring项目组中用来提供安全认证服务的框架。

1. Spring Security安全包括两个主要操作：
    a. “认证”
        是为用户建立一个他所声明的主体。
        主体一般是指用户，设备或可以在你系统中执行动作的其他系统。
    b. “授权”
        指的是一个用户能否在你的应用中执行某个操作
        在到达授权判断之前，身份的主题已经由身份验证过程建立了。

2. Spring Security使用

1. 导入相应jar包
    spring-security-web.jar
    spring-security-config.jar
2. 在web.xml配置文件中创建filter进行权限控制
    * filter-name固定不可修改
    
        springSecurityFilterChain
        DelegatingFilterProxy
    
    
        springSecurityFilterChain
        /*
    
3. 在xml配置文件中配置用户信息
    /resours/spring-security.xml
    
            

    	
    	
    	
    	
    		
    		
    		
    		
    		
    		
    		
    		
    	
    	
    		
    		
    			
    				
    				
    			
    		
    	
    

3. spring security使用数据库来进行权限认证

1. 使用UserDetail和UserDetailService完成认证操作
    a. 使用UserDetail接口的实现类对象User，用户封装认证的用户信息
    b. UserDetailService接口规范了认证时的方法是哪一个
2. 登陆流程
    * 原本的用户登陆认证是自定义controller来操作
        现在登陆认证由spring security来控制
    * 原本用户登陆的认证由自定义service来操作
        现在登陆认证的service必须实现UserDetailService接口，实现规范的登陆认证方法
    * 原本由Dao查询获得的是自定义的用户Bean对象
        现在必须规范的转化为UserDetail对象
        使用数据库查询出来的用户名，密码，权限创建UserDetail接口的实现类User对象
        User类有两个构造方法，其中可以控制用户的启用与否
3. 在xml配置文件中数据库中用户验证
    /resources/spring-security.xml
    
    
    
        
        
        
        
        
        
        
        
        
        	
        	
        	
        	
        	
        	
        	
        	
        	
        	
        	
        
        
        
        
            
        	
        		
        		
        	
        
        
        
        
        
        
 

4. 权限控制

1. 服务器端：基于方法的权限控制
    a. 三种方式：
        * JSR-250注解
            jsr250-api.jar
        * @Secured注解
            spring security提供的注解
        * 支持表达式注解
        该三种注解方式默认没有启用，需要在spring-security配置文件中配置/或者通过注解开启
        xml配置文件：
            
            
        注解配置：
            @EnableGlobalMethodSecurity：
                Spring Security默认是禁用注解的
                要想开启注解，需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解
                并在该类中将AuthenticationManager定义为Bean
    b. JSR-250注解：
        * @RolesAllowed：
            1. 标注在方法上，表示访问对应方法时所应该具有的角色
            2. @RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。
            3. 这里可以省略前缀ROLE_，实际的权限是ROLE_ADMIN
        * @PermitAll：
            1. 表示允许所有的角色进行访问，也就是说不进行权限控制
        * @DenyAll：
            1. 是和PermitAll相反的，表示无论什么角色都不能访问
    c. @Secured注解:
        * @Secured：
            1. 标注在方法上，表示访问对应方法时所应该具有的角色
            2. 此处不能省略ROLE_前缀
    d. 支持表达式注解：
        * @PreAuthorize：
            1. 在方法调用之前,基于表达式的计算结果来限制对方法的访问
            2. 使用：
                @PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")
                void changePassword(@P("userId") long userId ){ }
                这里表示在changePassword方法执行之前
                判断方法参数userId的值是否等于principal中保存的当前用户的userId
                或者当前用户是否具有ROLE_ADMIN权限，两种符合其一，就可以访问该方法。
        * @PostAuthorize：
            1. 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常
        * @PostFilter：
            1. 允许方法调用,但必须按照表达式来过滤方法的结果
        * @PreFilter：
            1. 允许方法调用,但必须在进入方法之前过滤输入值
2. 页面端：基于标签的权限控制
    a. 导入相关jar包
        spring-security-taglibs.jar
    b. 在jsp页面导入taglib
        <%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>
    c. 标签：
        * authentication标签：
            1. 代表的是当前认证对象，可以获取当前认证对象信息，例如用户名。
            2. 使用：
                
                属性：
                    property：只允许指定Authentication所拥有的属性
                            可以进行属性的级联获取，如“principle.username”，不允许直接通过方法进行调用
                            principle表示当前操作的对象
                    htmlEscape：表示是否需要将html进行转义。默认为true。
                    scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认我pageContext。
                            Jsp中拥有的作用范围都进行进行指定
                    var： 用于指定一个属性名，当获取到了authentication的相关信息后
                            会将其以var指定的属性名进行存放，默认是存放在pageConext中
        * authorize标签：
            1. 用于控制页面上某些标签是否可以显示
            2. 使用：
                
                    
                
                属性：
                    access： 需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限
                    method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限
                            method的默认值为GET，可选值为http请求的7种方法
                    url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
                    var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中
            3. 注意事项：
                * 在需要使用标签来控制访问权限时，在spring-security.xml配置中需要设置使用表达式
                * 需要在access中使用表达式来控制权限
                    
                	
                	
                	    ...
                    
                * 如果不修改之前的use-expression和access，需要配置bean标签启用
                    

5. 错误页面跳转

1. web.xml配置文件中配置错误跳转
    * 使用标签error-page
        
            404
            /xxxx.jsp
        

6. 通过AOP切面来记录操作日志

@Component
@Aspect
public class LogAop {
    @Autowired
    private HttpServletRequest request;
    @Autowired
    private ISysLogService sysLogService;
    private Date startTime; // 访问时间
    private Class executionClass;// 访问的类
    private Method executionMethod; // 访问的方法

    // 主要获取访问时间、访问的类、访问的方法
    @Before("execution(* cn.mysilent.ssm.controller.*.*(..))")
    public void doBefore(JoinPoint jp) throws NoSuchMethodException, SecurityException {
        startTime = new Date(); // 访问时间
        // 获取访问的类
        executionClass = jp.getTarget().getClass();
        // 获取访问的方法
        String methodName = jp.getSignature().getName();// 获取访问的方法的名称
        Object[] args = jp.getArgs();// 获取访问的方法的参数
        if (args == null || args.length == 0) {// 无参数
            executionMethod = executionClass.getMethod(methodName); // 只能获取无参数方法
        } else {
            // 有参数，就将args中所有元素遍历，获取对应的Class,装入到一个Class[]
            Class[] classArgs = new Class[args.length];
            for (int i = 0; i < args.length; i++) {
                classArgs[i] = args[i].getClass();
            }
            executionMethod = executionClass.getMethod(methodName, classArgs);// 获取有参数方法
        }
    }

    // 主要获取日志中其它信息，时长、ip、url...
    @After("execution(* cn.mysilent.ssm.controller.*.*(..))")
    public void doAfter(JoinPoint jp) throws Exception {
        // 获取类上的@RequestMapping对象
        if (executionClass != SysLogController.class) {
            RequestMapping classAnnotation = (RequestMapping)
                    executionClass.getAnnotation(RequestMapping.class);
            if (classAnnotation != null) {
                // 获取方法上的@RequestMapping对象
                RequestMapping methodAnnotation =
                        executionMethod.getAnnotation(RequestMapping.class);
                if (methodAnnotation != null) {
                    String url = ""; 
                    // 它的值应该是类上的@RequestMapping的value+方法上的@RequestMapping的value
                    url = classAnnotation.value()[0] + methodAnnotation.value()[0];
                    SysLog sysLog = new SysLog();
                    // 获取访问时长
                    Long executionTime = new Date().getTime() - startTime.getTime();
                    // 将sysLog对象属性封装
                    sysLog.setExecutionTime(executionTime);
                    sysLog.setUrl(url);
                    // 获取ip
                    String ip = request.getRemoteAddr();
                    sysLog.setIp(ip);
                    // 可以通过securityContext获取，也可以从request.getSession中获取
                    SecurityContext context = SecurityContextHolder.getContext(); 
                    //request.getSession().getAttribute("SPRING_SECURITY_CONTEXT")
                    String username = ((User)
                            (context.getAuthentication().getPrincipal())).getUsername();
                    sysLog.setUsername(username);
                    sysLog.setMethod("[类名]" + executionClass.getName() + "[方法名]" +
                            executionMethod.getName());
                    sysLog.setVisitTime(startTime);
                    // 调用Service，调用dao将sysLog insert数据库
                    sysLogService.save(sysLog);
                }
            }
        }
    }
}
注意：
    * 在获取注入的request对象时，需要在web.xml中配置一个监听器
    * 配置RequestContextListener后，可以直接有spring注入HttpServletRequest