**
**
基于SSM框架整合和Spring Security框架对用户的登录和资源权限查看即用户的认证和授权进行操作,从而进入系统后台通过与MySQL数据库交互来完成商品以及订单的查询与添加操作,并使用SpringAOP切面来完成日志收集。
主要知识点
Spring Security框架
基于spring security安全框架的用户管理主要分为两部分即认证和授权。从认证和授权两方面大概了解一下spring security的工作原理。
工作原理
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。
当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此类,下图是Spring Security过滤器链结构图:
FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时 这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认 证,也不直接处理用户的授权,而是把它们交给了认证管理器(AuthenticationManager)和决策管理器 (AccessDecisionManager)进行处理。
spring Security功能的实现主要是由一系列过滤器链相互配合完成
认证
系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。
认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信 息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。
会话方式分为基于session方式和token方式。
其中基于session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。基于session的认证机制是由Servlet规范定制,Servlet容器已实现,用户通过HttpSession的操作方法即可实现。
基于token的交互流程是,用户认证成功后,服务端生成一个token发给客户端,客户端可以放到 cookie 或 localStorage 等存储中,每次请求时带上 token,服务端收到token通过验证后即可确认用户身份。
认证流程
授权
为什么要授权? 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的, 控制不同的用户能够访问不同的资源。
授权: 授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有 权限则拒绝访问。
如何进行授权?一般使用RBAC授权,基于资源的访问控制是按资源(或权限)进行授权的,比如:用户必须具有查询工资权限才可以查询员工工资信息等。其优点是系统可扩展性强。
授权的方式包括 web授权和方法授权。
web授权是通过url拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
授权流程
其中AccessDecisionManager(访问决策管理器)的核心接口里的方法时decide()方法,里面所传的参数为authentication:要访问资源的访问者的身份。 object:要访问的受保护资源,web请求对应FilterInvocation。 configAttributes:是受保护资源的访问策略,通过SecurityMetadataSource获取。 decide接口就是用来鉴定当前用户是否有访问对应受保护资源的权限。
项目流程梳理
首先基于SSM的整合基础上完成商品的查询,添加以及订单的查询,分页以及订单详情查询(主要是多表查询操作),这部分相对来说比较基础,主要说一下SSM三大框架的整合,spring与spring mvc的整合主要是配置spring提供的ContextLoaderListener监听器,启动服务器时加载spring容器,存储ContextServlet对象。spring与mybatis的整合主要是把dao的代理对象放进spring容器,即在spring的配置文件中配置连接池对象,配置SqlSession的工厂和配置扫描dao接口的包。其次的商品和订单的查询添加操作就是由页面发送请求去controller层再去调用service层再去调用dao层从而去从数据库获取相关信息。其中分页操作使用的是mybatis的分页插件PageHelper。订单查询涉及产品表,会员表以及多对多的旅客表。
其次最为主要的便是用户的管理,角色的管理以及资源权限的管理。其中用户表和角色表,角色表和权限表都是多对多的关系。先说一下用户的登录认证操作流程:
认证结束之后对用户详情进行查询,其中包含角色,权限等信息。
授权之前要将用户角色权限的关系关联,其中用户与角色多对多只需要在中间表user_role插入数据即可。同样的方法也用于角色与权限之间的关系建立。
权限控制也就是用户授权分为服务端方法控制和页面端标签控制。
Spring Security在方法的权限控制上支持三种类型的注解,JSR-250注解、@Secured注解和支持表达式的注解,这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用。
JSR-250注解:一般使用@RolesAllowed表示访问对应方法时所应该具有的角色。(示例: @RolesAllowed({“USER”, “ADMIN”}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省 略前缀ROLE_,实际的权限可能是ROLE_ADMIN)
支持表达式的注解:@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问
@PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常等
@Secured注解:@Secured注解标注的方法进行权限控制的支持,其值默认为disabled。
页面端:在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制
常用标签
在jsp中我们可以使用以下三种标签,其中authentication代表的是当前认证对象,可以获取当前认证对象信息,例如用户名。其它两个标签我们可以用于权限控制
authentication
property: 只允许指定Authentication所拥有的属性,可以进行属性的级联获取,如“principle.username”,不允许直接通过方法进行调用
htmlEscape:表示是否需要将html进行转义。默认为true。
scope:与var属性一起使用,用于指定存放获取的结果的属性名的作用范围,默认我pageContext。Jsp中拥有的作用范围都进行进行指定
var: 用于指定一个属性名,这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存放,默认是存放在pageConext中
authorize
authorize是用来判断普通权限的,通过判断用户是否具有对应的权限而控制其所包含内容的显示
access: 需要使用表达式来判断权限,当表达式的返回结果为true时表示拥有对应的权限
method:method属性是配合url属性一起使用的,表示用户应当具有指定url指定method访问的权限,
method的默认值为GET,可选值为http请求的7种方法
url:url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
var:用于指定将权限鉴定的结果存放在pageContext的哪个属性中
accesscontrollist
accesscontrollist标签是用于鉴定ACL权限的。其一共定义了三个属性:hasPermission、domainObject和var,其中前两个是必须指定的
hasPermission:hasPermission属性用于指定以逗号分隔的权限列表
domainObject:domainObject用于指定对应的域对象
var:var则是用以将鉴定的结果以指定的属性名存入pageContext中,以供同一页面的其它地方使用。
最后就是AOP日志的收集,创建一个切面类处理日志,加入前置通知注解,主要获取访问时间,访问的类,访问的方法。后置通知主要获取日志中时长,ip,url。调用service,调用dao将sysLog插入数据库。