权限框架Spring-Security

权限框架Spring-Security

今天学习了权限框架Spring-Security
首先我们先了解权限框架Spring-Security:
权限框架Spring-Security_第1张图片
权限框架Spring-Security_第2张图片
接下来便是一个使用的大致步骤:
1.导Pom.xml包
在properties标签里将Spring-Security版本号输入
权限框架Spring-Security_第3张图片
然后将这些代码放入dependencies标签中,让它自行下载相应的jar包

 <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>${
     spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>${
     spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-core</artifactId>
      <version>${
     spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-taglibs</artifactId>
      <version>${
     spring.security.version}</version>
    </dependency>

2.在web.xml中配置Security的 过滤器

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*
  

3.配置Spring-security.xml
将老师给的spring-security.xml文件放到resources下面
更改相应的参数,与前面的变量相对应

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

4.配置相应的service(此次实现的是一个管理员与普通户用权限的界面,所以要使用两个数据表进行一个一对多的关系)
权限框架Spring-Security_第4张图片
一,在UserInfo下添加一个role的list变量
并写相应的get,set方法
在这里插入图片描述
二,在IRoleDao层中写一个根据用户ID去查询role角色的方法
在这里插入图片描述
三,在RoleMapper.xml中写相应的sql语句

 <!--  根据用户ID去查询role角色  -->
    <select id="findRoleByUserId" parameterType="Integer" resultType="com.zhongruan.bean.Role">
        SELECT * FROM tb_role WHERE rid in(SELECT rid FROM tb_user_role WHERE rid=#{
     id})
    </select>

四,在IUserInfoService接口中继承UserDetailsService
五,在IUserInfoService类中实现loadUserByUsername方法:

 @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
     
        //根据姓名查询到当前登录的用户
        UserInfo userInfo=userInfoDao.doLogin(username);
        //根据当前登录的用户ID,去查询到所属的角色
        List<Role> roleList=roleDao.findRoleByUserId(userInfo.getId());
        userInfo.setRoleList(roleList);

        //得到想要的信息之后,就要交给Security去处理
        User  user=new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),getAuthority(roleList));

        return user;
    }

    private Collection<? extends GrantedAuthority> getAuthority(List<Role> roleList) {
     
        List<SimpleGrantedAuthority> list=new ArrayList<>();

        for (Role role:roleList){
     
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRname()));
        }
        return list;

ps:不要忘了加userService,要与前方的Spring-security.xml相互对应
在这里插入图片描述
5.配置相应的jsp
将登陆界面的登入改成与前方的Spring-security.xml相互对应
在这里插入图片描述
在aside.jap页面将进行一个权限控制的呈现
角色名为ADMIN的有权进入用户管理,其他用户没有权限进入
权限框架Spring-Security_第5张图片

总结:此次权限框架Spring-Security是一个验证用户密码是否正确的过程,也能更好的对用户能访问的资源进行控制,所以是一个极其方便的一个框架,如果能加以利用,将能使开发的网站安全性更上一节。不过很多点也要注意,在写代码时,所写的变量要与Spring-security.xml配置文件中的参数相互对应,否则,将很难实现其功能!

你可能感兴趣的:(java)