红衣女妖仙

spring security 使用示例

spring security example

用户名密码认证、短信验证码认证、踢人下线、 AuthorizationFilter 授权、FilterSecurityInterceptor url / expression 授权、登出、分布式配置。

1、前言

java：8
spring security：5.7.1

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-securityartifactId>
dependency>

2、SecurityConfig

先添加一个 SecurityConfig 配置类，作为整个 spring security 的核心配置，后续的认证、授权等功能都将在整个配置类中完成。

// spring security config
@Configuration
public class SecurityConfig {
    
    // 使用 HttpSecurity 构建器配置一个 SecurityFilterChain bean
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        
        // csrf
        httpSecurity.csrf()
                .disable();
        
        // 用户名密码认证
        
        // 短信验证码认证
        
        // 踢人下线
        
        // 认证入口处理器
        
        // AuthorizationFilter 授权
        
        // FilterSecurityInterceptor url 授权
        
        // FilterSecurityInterceptor expression 授权（常用）
        
        // 授权异常处理
        
        // 登出
        
    }
}

3、用户名密码认证

用户名密码认证主要是自定义实现 UserDetails、UserDetailsService、AuthenticationSuccessHandler、AuthenticationFailureHandler、AuthenticationEntryPoint 等类，然后将它们配置到 SecurityConfig 中。

3.1、UserEntity

// 自定义 UserEntity 类实现 UserDetails 接口
// 实现自己的用户实体类
@Data
@ToString
@NoArgsConstructor
@AllArgsConstructor
public class UserEntity extends BaseEntity implements UserDetails, Serializable {

    private static final long serialVersionUID = -5194298431715212061L;
    
    @TableId(type = IdType.AUTO)
    private Long id;

    private String account;   // 账号（用户名）

    private String password;   // 密码（凭证）

    private Integer accountType;   // 账号类型: 0: 全部; 1: 超级管理员; 2: 管理员; 3: 业务员; 4: 用户

    private String nickName;   // 昵称

    private Integer accountExpireState;   // 账号过期状态: 0: 全部; 1: 未过期; 2: 已过期

    private Integer passwordExpireState;   // 密码过期状态: 0: 全部; 1: 未过期; 2: 已过期

    private Integer lockState;   // 账号锁定状态: 0: 全部; 1: 未锁定; 2: 已锁定

    private Integer enableState;   // 账号启用状态: 0: 全部; 1: 启用; 2: 禁用

    @TableField(exist = false)
    private List<String> roleList;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorityList = new ArrayList<>(this.roleList.size());
        this.roleList.forEach(role -> authorityList.add(new SimpleGrantedAuthority(role)));
        return authorityList;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.account;
    }

    @Override
    public boolean isAccountNonExpired() {
        return this.accountExpireState == 1;
    }

    @Override
    public boolean isAccountNonLocked() {
        return this.lockState == 1;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return this.passwordExpireState == 1;
    }

    @Override
    public boolean isEnabled() {
        return this.enableState == 1;
    }

    // 内部类 UserEntityDeserializer 自定义的 UserEntity 反序列化器 实现分布式权限管理时会用到
    public static class UserEntityDeserializer extends JsonDeserializer<UserEntity> {
        @Override
        public UserEntity deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JacksonException {

            ObjectMapper mapper = (ObjectMapper) jsonParser.getCodec();
            JsonNode jsonNode = mapper.readTree(jsonParser);

            long id = getJsonNode(jsonNode, "id").asLong();
            String account = getJsonNode(jsonNode, "account").asText();
            String password = getJsonNode(jsonNode, "password").asText("");
            int accountType = getJsonNode(jsonNode, "accountType").asInt();
            String nickName = getJsonNode(jsonNode, "nickName").asText();
            int accountExpireState = getJsonNode(jsonNode, "accountExpireState").asInt();
            int passwordExpireState = getJsonNode(jsonNode, "passwordExpireState").asInt();
            int lockState = getJsonNode(jsonNode, "lockState").asInt();
            int enableState = getJsonNode(jsonNode, "enableState").asInt();
            List<String> roleList = mapper.convertValue(getJsonNode(jsonNode, "roleList"), new TypeReference<List<String>>() {});

            return UserEntity.builder()
                    .id(id)
                    .account(account)
                    .password(password)
                    .accountType(accountType)
                    .nickName(nickName)
                    .accountExpireState(accountExpireState)
                    .passwordExpireState(passwordExpireState)
                    .lockState(lockState)
                    .enableState(enableState)
                    .roleList(roleList)
                    .build();
        }

        private JsonNode getJsonNode(JsonNode jsonNode, String field) {
            return jsonNode.has(field) ? jsonNode.get(field) : MissingNode.getInstance();
        }
    }

    // 内部类 UserEntityMixin 实现分布式权限管理时会用到
    @JsonTypeInfo(use = JsonTypeInfo.Id.CLASS, include = JsonTypeInfo.As.PROPERTY, property = "@class")
    @JsonAutoDetect(fieldVisibility = JsonAutoDetect.Visibility.ANY, getterVisibility = JsonAutoDetect.Visibility.NONE,
            isGetterVisibility = JsonAutoDetect.Visibility.NONE)
    @JsonDeserialize(using = UserEntityDeserializer.class)
    public abstract static class UserEntityMixin {

    }
}

3.2、UserService

// UserService
public interface UserService extends UserDetailsService {}

// 自定义 UserServiceImpl 类实现 UserDetailsService 接口的 loadUserByUsername() 方法
@Component
public class UserServiceImpl implements UserService {

    @Override   // 根据用户名（或账号）从数据库加载用户信息、用户权限信息等
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 假装这些信息都是从数据库查到的
        List<String> list = new ArrayList<>();
        list.add("ADMIN");   // 假装改用拥有 ADMIN 角色
        
        // 注意：新版本中加密后的密码格式变了 {加密方式}密码
        // 密码是 123456（下面是 BCryptPasswordEncoder 加密器加密后的结果）
        String password = "{bcrypt}$2a$10$j.ufU7p1wg0tEBcgPknxy.Bt7z6uPZWXs/nxsO25/j1tFI/QXWSNq";

        return UserEntity.builder()
                .account(username)
                .password(password)
                .roleList(list)
                .accountExpireState(1)
                .passwordExpireState(1)
                .lockState(1)
                .enableState(1)
                .build();
    }
}

3.3、MyAuthenticationSuccessHandler

// 自定义 MyAuthenticationSuccessHandler 类实现 AuthenticationSuccessHandler
// 实现自己的认证成功处理器
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        // 这里主要是向返回一个登录成功的提示 具体需要根据业务场景来实现 如返回一个 json 亦或是其它
        ResponseUtils.responseJson(response, APIResponse.success("登录成功！"));
    }
}

3.4、MyAuthenticationFailureHandler

// 自定义 MyAuthenticationFailureHandler 类实现 AuthenticationFailureHanlder
// 实现自己的认证失败处理器
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        String message;
        if (exception instanceof UsernameNotFoundException || exception instanceof BadCredentialsException) {
            message = "账号或密码错误！";
        } else if (exception instanceof LockedException) {
            message = "账号被锁定！";
        } else if (exception instanceof DisabledException) {
            message = "账号被禁用！";
        } else if (exception instanceof AccountExpiredException) {
            message = "账号已过期！";
        } else if (exception instanceof CredentialsExpiredException) {
            message = "密码已过期！";
        } else {
            message = "登录失败！";
        }
        // 这里主要是向返回一个登录失败的提示 具体需要根据业务场景来实现 如返回一个 json 表示用户名密码错误 亦或是其它
        ResponseUtils.responseJson(response, APIResponse.failure(message));
    }
}

3.5、MyAuthenticationEntryPoint

// 自定义 MyAuthenticationEntryPoint 类实现 AuthenticationEntryPoint
// 实现自己的认证入口处理器
@Component
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        // 这里主要是向返回一个请先登录的提示 具体需要根据业务场景来实现 如返回一个 json 表示请先登录 然后前端根据整个提示跳转到登录页 亦或是其它
        ResponseUtils.responseJson(response, APIResponse.failure("请先登录！"));
    }
}

4、短信验证码认证

一般情况下，自定义实现一种认证方式需要以下几个步骤：自定义实现一个 Authentication、自定义实现一个 AuthenticationProvider、自定义个实现一个 AuthenticationFilter、自定义个实现一个 SecurityConfigurer 等。spring security 为我们提供了大量相关的接口和抽象类，自定义实现时只需要去实现相应接口或者扩展相应抽象类即可。

4.1、SmsAuthenticationToken

// 自定义 SmsAuthenticationToken 类扩展 AbstractAuthenticationToken
// 用来承载短信验证码认证中的一些信息
public class SmsAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = -4459070945583037208L;
    private final Object principal;   // 认证主体
    private Object credentials;   // 凭证

    public SmsAuthenticationToken(Object principal, Object credentials) {
        super(null);
        this.principal = principal;
        this.credentials = credentials;
        setAuthenticated(false);
    }

    public SmsAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true); // must use super, as we override
    }

    @Override
    public Object getCredentials() {
        return this.credentials;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        Assert.isTrue(!isAuthenticated,
                "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        super.setAuthenticated(false);
    }
}

4.2、SmsAuthenticationProvider

// 自定义 SmsAuthenticationprovider 类实现 AuthenticationProvider 接口
// AuthenticationProvider 即认证提供器的主要作用是进行认证 简单理解就是验证用户名存不存在 密码正不正确 当然在这里就是手机号存不存在 验证码正不正确
public class SmsAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        /**
         * 1、从 redis 中根据 mobilePhone 获取到实际生成的 smsCode
         * 2、从 authentication 中取出前端传过来的 smsCode
         * 3、检查是否相等
         */
        String smsCode = "123456";   // 假设实际生成的短信验证码是 123456
        String credentials = (String) authentication.getCredentials();

        if (StringUtils.equals(smsCode, credentials)) {
            return new SmsAuthenticationToken(authentication.getPrincipal(), authentication.getCredentials(), Collections.emptyList());
        }
        throw new BadCredentialsException("验证码错误！");
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return SmsAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

4.3、SmsAuthenticationFilter

// 自定义 SmsAuthenticatgionFilter 类扩展 AbstractAuthenticationprocessingFilter
// 这个 filter 的主要作用是处理或者触发短信验证码认证
public class SmsAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    // 以构造函数的方式配置处理器短信验证码认证的 url 匹配器
    public SmsAuthenticationFilter() {
        super(new AntPathRequestMatcher("/admin/sms/login", HttpMethod.POST.name()));
    }

    @Override   // 开始认证
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {

        // 从 request 对象中取出参数
        String mobilePhone = request.getParameter("mobilePhone");
        String smsCode = request.getParameter("smsCode");

        // 构建一个我们自定义的认证 token
        SmsAuthenticationToken smsAuthenticationToken = new SmsAuthenticationToken(mobilePhone, smsCode);
        smsAuthenticationToken.setDetails(this.authenticationDetailsSource.buildDetails(request));

        // 调用认证管理器的 authenticate() 方法开始认证这个动作
        return this.getAuthenticationManager().authenticate(smsAuthenticationToken);
    }
}

4.4、SmsAuthenticationConfigurer

// 自定义 SmsAuthenticationConfigurer 类扩展 AbstractAuthenticationFilterConfigurer
// configurer 的主要作用是配置 filter 并将 filter 添加到 SecurityFilterChain 中
@Component
public class SmsAuthenticationConfigurer<B extends HttpSecurityBuilder<B>>
        extends AbstractAuthenticationFilterConfigurer<B, SmsAuthenticationConfigurer<B>, SmsAuthenticationFilter> {

    // 维护两个处理器
    private AuthenticationSuccessHandler successHandler;
    private AuthenticationFailureHandler failureHandler;

    // 以构造函数的方式实例化父类中维护的 filter
    public SmsAuthenticationConfigurer() {
        super(new SmsAuthenticationFilter(), null);
    }

    @Override   // 配置 login process url
    protected RequestMatcher createLoginProcessingUrlMatcher(String loginProcessingUrl) {
        return new AntPathRequestMatcher(loginProcessingUrl);
    }

    @Override   // 实现配置方法 配置 SmsAuthenticationFilter
    public void configure(B http) throws Exception {
        // 通过调用父类的 getAuthenticationFilter() 方法拿到执行构造函数设置到父类中的 filter
        SmsAuthenticationFilter smsAuthenticationFilter = this.getAuthenticationFilter();

        // 从 HttpSecurity 中取出共享对象 AuthenticationManager 并设置到 filter 中
        smsAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));

        // 设置处理器
        smsAuthenticationFilter.setAuthenticationSuccessHandler(successHandler);
        smsAuthenticationFilter.setAuthenticationFailureHandler(failureHandler);

        // new 一个自定义的 provider
        SmsAuthenticationProvider smsAuthenticationProvider = new SmsAuthenticationProvider();

        // 设置 provider 并将 filter 添加到 SecurityFilterChain 维护的 filter 列表中
        http.authenticationProvider(smsAuthenticationProvider)
                .addFilterAfter(smsAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }

    // 向外部提供两个配置处理器的方法
    public SmsAuthenticationConfigurer<B> setSuccessHandler(AuthenticationSuccessHandler successHandler) {
        this.successHandler = successHandler;
        return this;
    }
    public SmsAuthenticationConfigurer<B> setFailureHandler(AuthenticationFailureHandler failureHandler) {
        this.failureHandler = failureHandler;
        return this;
    }
}

5、AuthorizationFilter 授权

AuthorizationFilter 授权的主要原理是通过 AuthorizeHttpRequestsConfigurer 配置类来配置要保护的资源以及其对应的角色，最终会产生一个受保护资源与访问其需具备的角色的一对多的映射关系，这一堆一对多的映射关系被维护在一个 list 中。当请求到达时会先根据该请求（资源）获取其对应的角色列表，然后从 authentication 中取出当前用户所具有的角色列表，然后两个 list 取交集，若至少有一个重合，则说明该用户有权访问该资源。该授权方式不常用，看看就行。

5.1、配置权限

// 在 SecurityConfig 中配置权限（在实际应用中应该从数据库中加载这些资源和对应角色）
httpSecurity.authorizeHttpRequests()
                    .antMatchers("/user/**", "/perm/**", "/role/**")   // 要保护的资源一
                    .hasAnyRole("SUPER-ADMIN", "ADMIN")   // 访问资源一需要的角色一
                    .antMatchers("/web/**")   // 要保护的资源二
                    .hasAnyRole("WEB");   // 访问资源二需要的角色二

6、FilterSecurityInterceptor url 授权

FilterSecurityInterceptor url 授权配置方式和 AuthorizationFilter 授权差不多，但内部逻辑不一样。该授权方式也不常用，看看就行。

6.1、配置权限

// 在 SecurityConfig 中配置权限（在实际应用中应该从数据库中加载这些资源和对应角色）
httpSecurity.apply(new UrlAuthorizationConfigurer<>(httpSecurity.getSharedObject(ApplicationContext.class)))
                .withObjectPostProcessor(objectPostProcessor)   // 这个后置处理器就是用来加载资源对应角色的 后文会讲到
                .getRegistry()
                .antMatchers("/admin/user/login", "/admin/sms/login")   // 这个没实际作用 但是得配一对
    		   .hasAnyRole("LOGIN_ROLE")

7、FilterSecurityInterceptor expression 授权（常用）

FilterSecurityInterceptor expression 授权主要需要配置权限数据源 FilterInvocationSecurityMetadataSource、访问决策管理器 AccessDecisionManager、访问拒绝处理器 AccessDeniedHandler、登录入口 AuthenticationEntryPoint 等。

7.1、MySecurityMetadataSource

// 自定义 MySecurityMetadataSource 类实现 FilterInvocationSecurityMetadataSource 接口
// 其作用是管理权限源数据
@Component
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    private final Map<String, List<String>> requestMap = new HashMap<>();

    // 项目初始化时从数据库加载权限配置信息
    @PostConstruct
    public void init() {
        // 这里应该是查询数据 获取数据库配置的 资源与角色 的映射关系
        List<String> roleList = new ArrayList<>();
        roleList.add("SUPER_ADMIN");
        roleList.add("ADMIN");
        roleList.add("MOMO");
        requestMap.put("/admin/perm/list", roleList.subList(0, 1));
        requestMap.put("/admin/log/list", roleList.subList(0, 2));
        requestMap.put("/admin/user/list", roleList.subList(0, 3));
        requestMap.put("/admin/log/test", roleList.subList(0, 3));
    }

    @Override   // 实现 getAttributes 方法 其主要作用是将我们自定义的 requestMap 中的数据转换成了集合然后返回
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {

        String requestUrl = ((FilterInvocation) object).getRequestUrl();

        for (Map.Entry<String, List<String>> entry : this.requestMap.entrySet()) {
            if (this.antPathMatcher.match(entry.getKey(), requestUrl)) {
                return SecurityConfig.createList(entry.getValue().toArray(new String[0]));
            }
        }

        return null;
    }

    @Override   // 获取所有权限配置
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        Set<ConfigAttribute> configAttributes = new HashSet<>();
        this.requestMap.values().forEach(list -> configAttributes.addAll(SecurityConfig.createList(list.toArray(new String[0]))));
        return configAttributes;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

7.2、MyAccessDecisionManager

// 自定义 MyAccessDecisionManager 类实现 AccessDecisionManager 接口
// 其主要作用就是匹配权限
@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
   	
    // authenticaion 当前登录用户（其中包含了该用户所具有角色） 
    // object 实际上就是 request 对象（其中包含了 url） 
    // configAttributes 就是从 MySecurityMetadataSource 的 getAttributes 方法中根据 object 获取到的角色列表
    @Override   // 角色
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {

        Collection<? extends GrantedAuthority> grantedAuthorities = authentication.getAuthorities();
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();

        String requestRole;
        while (iterator.hasNext()) {

            requestRole = iterator.next().getAttribute();
            if (StringUtils.equals("LOGIN_ROLE", requestRole)) {
                return;   // LOGIN_ROLE 角色为虚拟角色 也就是说 /admin/user/login 资源不需要角色
            }

            for (GrantedAuthority grantedAuthority : grantedAuthorities) {
                if (StringUtils.equals(requestRole, grantedAuthority.getAuthority())) {
                    return;   // 若匹配到 则返回 说明授权成功
                }
            }
        }

        throw new AccessDeniedException("无权访问！");   // 若没匹配到则抛出访问被拒绝异常 即授权失败
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return false;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return false;
    }
}

7.3、FilterSecurityInterceptorPostProcessor

// 自定义 FilterSecurityInterceptorPostProcessor 类实现 ObjectPostProcessor
// ObjectPostProcessor 接口是一个对象后置处理器接口 而其泛型表示要处理的类类型 这里要处理的就是 FilterSecurityInterceptor
@Component
@RequiredArgsConstructor
public class FilterSecurityInterceptorPostProcessor implements ObjectPostProcessor<FilterSecurityInterceptor> {

    private final AccessDecisionManager accessDecisionManager;   // 注入自定义的 MyAccessDecisionManager

    private final FilterInvocationSecurityMetadataSource securityMetadataSource;   // 注入自定义的 MySecurityMetadataSource

    // FilterSecurityInterceptor 过滤器的 configurer 在配置其时会调用其后置处理方法 也就是这里的 postProcess
    // 调用 postProcess 方法时会把自定义的 manager 和 source 设置进去
    // 注：别看 FilterSecurityInterceptor 后缀是拦截器 实际上其是个过滤器 实现了 Filter
    @Override
    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
        object.setAccessDecisionManager(accessDecisionManager);
        object.setSecurityMetadataSource(securityMetadataSource);
        return object;
    }
}

7.4、MyAccessDeniedHandler

// 自定义 MyAccessDeniedHanlder 类实现 AccessDeniedHandler 接口
// 其主要作用是实现在授权失败后的处理方式 如向前端返回一个 json 提示无权访问
@Slf4j
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException exception) throws IOException, ServletException {
        log.error(exception.getMessage());
        ResponseUtils.responseJson(response, APIResponse.failure("无权访问！"));
    }
}

7.5、MyAuthenticationEntrypoint

// 自定义 MyAuthenticationEntryPoint 实现 AuthenticationEntryPoint 接口
// 其主要作用是实现在未登录的情况下访问一个受保护资源时的处理方式 如返回一个 json 提示 前端根据该提示跳转到登录页面
@Component
@Slf4j
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        log.error(exception.getMessage());
        ResponseUtils.responseJson(response, APIResponse.failure("请先登录！"));
    }
}

8、踢人下线

踢人下线的主要应用场景是，对于同一个账号，是否可以允许多人同时登录/同时在线（即多人同时使用一个 vip 账号）、允许同时在线的人数、当到达该刷数量后怎么处理等等。

// 在 SecurityConfig 中配置踢人下线
// 主要是匹配值 SessionManagement
httpSecurity.sessionManagement()
                .maximumSessions(2)   // 最大 session 数 即同时允许两人在线
    		   // 是否阻止用户登录 
                // 若为 false 则表示该账号所有登录的 session 中活跃度最低的几个会被删除
                // 若为 true 则表示当在线人数达到最大 session 数后 后续要登录的用户将被阻止登录
                .maxSessionsPreventsLogin(false)   
                .sessionRegistry(sessionRegistry)   // 这个是配置分布式权限管理用的
                // 配置 session 过期后的处理器
                .expiredSessionStrategy(sessionExpiredHandler);

8.1、MySessionExpiredHandler

// 自定义 MySessionExpiredHandler 类实现 SessionInformationExpiredStrategy 接口
// 其作用是给被后续登录的用户挤掉的前面登录的用户提示
// 如对于同一个账号 其 maximumSessions 设置为 2 即允许同时两人在线
// A 用户先登录正常使用 B 用户再登录也正常使用（假设这两人登录后一直再使用）
// 当 C 用户登录时 A 用户就会被挤掉 当其再使用时就会收到这条提示
@Component
public class MySessionExpiredHandler implements SessionInformationExpiredStrategy {

    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
        ResponseUtils.responseJson(event.getResponse(), APIResponse.failure("您已被迫下线，请重新登录！"));
    }
}

9、登出

登出的主要逻辑是在用户登出后清除用户信息，如 session、SecurityContext 等信息，以及配置登出成功后的处理器。

// 在 SecurityConfig 中配置登出相关
httpSecurity.logout()
                .logoutUrl("/admin/user/logout")   // 登出时调用的 url
                .invalidateHttpSession(true)   // 是否是 session 无效 一般为 true
                .clearAuthentication(true)   // 是否清除 authentication 一般为 true
                .addLogoutHandler(logoutHandler)   // 登出处理器 这里可以执行一些登出时要执行的自定义操作
                .logoutSuccessHandler(logoutSuccessHandler);   // 登出成功后的处理器

9.1、MyLogoutHandler

// 自定义 MyLogoutHandler 类实现 LogouHandler 接口
// 其主要作用是执行登出时的自定义操作
// 这里主要是针对分布式权限管理的操作
@Component
@RequiredArgsConstructor
public class MyLogoutHandler implements LogoutHandler {

    private final MySecurityContextRepository securityContextRepository;

    private final SessionRegistry sessionRegistry;

    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        sessionRegistry.removeSessionInformation(request.getRequestedSessionId());
        securityContextRepository.clearContext(request);
    }
}

9.2、MyLogoutSuccessHandler

// 自定义 MyLogoutSuccessHandler 类实现 LogoutSuccessHandler 接口
// 其主要作用是执行登出成功后的操作 如返回一个 json 提示登出成功
@Component
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        ResponseUtils.responseJson(response, APIResponse.success("登出成功！"));
    }
}

10、分布式配置

分布式配置主要是指在分布式环境下 spring security 的配置，一般是 SecurityContext 的存储问题以及 session 存储问题。

在单机情况下 SecurityContext（即用户登录后的信息）是存储在 http session 中的，而 session 是存储在内存中的，假设用户登录时访问的是机器 A，于是该用户的登录信息就存储在了机器 A 的内存中，假设当用户发起下一个请求该请求落在了机器 B 上，那必然 GG。所以，分布式环境下针对 SecurityContext 而言主要是将其共享起来，多个服务器共享一套数据，就可。一般是使用 redis。

对于 session 而言，其默认是也是维护在内存中的，用了两个 map 来存储，所以当配置了 SessionManagement 时，就需要共享 session，如当你配置了踢人下线时。一般也是使用 redis。注：这里的 session 的作用和上面的不一样，这里的是用来存储多个用户同时在线所对应的 session 的，而上面的是用来存储当户登录后的信息的。

spring security 中提供的 SecurityContext 的管理接口是 SecurityContextRepository，所以我们需要自定义实现它；同理，提供的 session 的管理接口是 SessionRegistry，所以我们也要实现它。

10.1、MySecurityContextRepository

// 自定义 MySecurityContextRepository 类实现 SecurityContextRepository 接口
@Slf4j
@Component
@RequiredArgsConstructor
public class MySecurityContextRepository implements SecurityContextRepository {

    // string   key: account   value: context(SecurityContext)
    private static final String ACCOUNT_CONTEXT_PREFIX = "security:account:context:";

    // hash   hashKey: session   value: account
    private static final String ACCOUNT_SESSIONS_PREFIX = "security:account:sessions";

    private final AuthenticationTrustResolver trustResolver = new AuthenticationTrustResolverImpl();

    // 这里是自定义注入的 ObjectMapper 为什么要自定义后续会讲到
    @Resource(name = "springSecurityObjectMapper")
    private final ObjectMapper springSecurityObjectMapper;

    @Override   // 加载 context（注：HttpRequestResponseHolder 已经被启用了）
    public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
        return getSecurityContext(requestResponseHolder.getRequest());
    }

    @Override   // 加载 context
    public Supplier<SecurityContext> loadContext(HttpServletRequest request) {
        return () -> getSecurityContext(request);
    }

    @Override   // 保存 context
    public void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response) {
        Authentication authentication = context.getAuthentication();
        if (authentication == null || this.trustResolver.isAnonymous(authentication)) {
            return;
        }

        UserEntity userEntity = (UserEntity) authentication.getPrincipal();
        String account = userEntity.getUsername();
        String sessionId = request.getRequestedSessionId();

        RedisUtils.addValue(ACCOUNT_CONTEXT_PREFIX + account, context, true);
        RedisUtils.addHashValue(ACCOUNT_SESSIONS_PREFIX, sessionId, account, true);
    }

    @Override   // 是否包含某个 session
    public boolean containsContext(HttpServletRequest request) {
        String sessionId = request.getRequestedSessionId();
        return RedisUtils.containHashKey(ACCOUNT_SESSIONS_PREFIX, sessionId, true);
    }

    // 清除 context 登出时会用到
    public void clearContext(HttpServletRequest request) {
        String sessionId = request.getRequestedSessionId();

        if (RedisUtils.containHashKey(ACCOUNT_SESSIONS_PREFIX, sessionId, true)) {
            RedisUtils.deleteHashKey(ACCOUNT_SESSIONS_PREFIX, sessionId, true);
        }
    }

    // 获取 security context
    private SecurityContext getSecurityContext(HttpServletRequest request) {
        String sessionId = request.getRequestedSessionId();

        SecurityContext emptyContext = SecurityContextHolder.createEmptyContext();

        Object o = RedisUtils.getHashValue(ACCOUNT_SESSIONS_PREFIX, sessionId, true);
        if (o == null) {
            return emptyContext;
        }
        try {
            Object result = RedisUtils.getValue(ACCOUNT_CONTEXT_PREFIX + o, true);
            SecurityContext securityContext = springSecurityObjectMapper.convertValue(result, SecurityContext.class);
            return securityContext == null ? emptyContext : securityContext;
        } catch (Exception e) {
            log.error("Failed to convert Map to Object!", e);
            return emptyContext;
        }
    }
}

10.2、MySessionRegistry

// 自定义 MySessionRegistry 类实现 SessionRegistry
@Slf4j
@Component
@RequiredArgsConstructor
public class MySessionRegistry implements SessionRegistry {

    // hash   hashKey: Principal   value: sessionIds
    private static final String PRINCIPAL_SESSIONS_PREFIX = "security:session:principal";

    // hash   hashKey: sessionId   value: SessionInformation
    public static final String SESSION_INFORMATION_PREFIX = "security:session:information";

    @Override   // 获取所有登录主体（即用户）
    public List<Object> getAllPrincipals() {
        return new ArrayList<>(RedisUtils.getHashKeys(PRINCIPAL_SESSIONS_PREFIX, false));
    }

    @Override   // 获取登录某个账号的所有 session 信息
    public List<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions) {
        if (principal == null) {
            return new ArrayList<>();
        }

        Set<String> sessionIds = getSessionIds(principal);
        if (CollectionUtils.isEmpty(sessionIds)) {
            return new ArrayList<>();
        }

        List<SessionInformation> list = new ArrayList<>();
        for (String sessionId : sessionIds) {
            SessionInformation sessionInformation = getSessionInformation(sessionId);
            if (sessionInformation == null) {
                continue;
            }
            if (includeExpiredSessions || !sessionInformation.isExpired()) {
                list.add(sessionInformation);
            }
        }
        return list;
    }

    @Override   // 根据 sessionId 获取 SessionInformation
    public SessionInformation getSessionInformation(String sessionId) {
        return getSession(sessionId);
    }

    @Override   // 刷新某个 session 的最后一次请求时间
    public void refreshLastRequest(String sessionId) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");

        SessionInformation sessionInformation = getSessionInformation(sessionId);
        if (sessionInformation != null) {
            sessionInformation.refreshLastRequest();
            RedisUtils.addHashValue(SESSION_INFORMATION_PREFIX, sessionId, sessionInformation, false);
        }
    }

    @Override   // 注册一个新 session
    public void registerNewSession(String sessionId, Object principal) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");
        Assert.notNull(principal, "Principal required as per interface contract");

        if (getSessionInformation(sessionId) != null) {
            removeSessionInformation(sessionId);
        }

        Set<String> sessionIds = getSessionIds(principal);
        sessionIds.add(sessionId);

        RedisUtils.addHashValue(PRINCIPAL_SESSIONS_PREFIX, principal, sessionIds, false);
        // 注：这里使用的是 SessionInformation 的扩展类 即MySessionInformation 
        RedisUtils.addHashValue(SESSION_INFORMATION_PREFIX, sessionId, new MySessionInformation(principal, sessionId, new Date(), false),
                false);
    }

    @Override   // 移除一个 session 信息
    public void removeSessionInformation(String sessionId) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");

        SessionInformation sessionInformation = getSessionInformation(sessionId);
        if (sessionInformation == null) {
            return;
        }

        RedisUtils.deleteHashKey(SESSION_INFORMATION_PREFIX, sessionId, false);
        if (sessionInformation.getPrincipal() == null) {
            return;
        }

        Set<String> sessionIds = getSessionIds(sessionInformation.getPrincipal());
        if (CollectionUtils.isEmpty(sessionIds)) {
            return;
        }

        sessionIds.remove(sessionId);
        RedisUtils.addHashValue(PRINCIPAL_SESSIONS_PREFIX, sessionInformation.getPrincipal(), sessionIds, false);
    }

    // 根据 principal 获取 sessionIds
    private Set<String> getSessionIds(Object principal) {
        Object o = RedisUtils.getHashValue(PRINCIPAL_SESSIONS_PREFIX, principal, false);
        if (o == null) {
            return new HashSet<>();
        } else {
            return new HashSet<>((List<String>) o);
        }
    }

    // 根据 sessionId 获取 session information
    public static MySessionInformation getSession(String sessionId) {
        Assert.hasText(sessionId, "SessionId required as per interface contract");

        try {
            Object o = RedisUtils.getHashValue(SESSION_INFORMATION_PREFIX, sessionId, false);
            if (o == null) {
                return null;
            }

            Map<String, Object> map = (Map<String, Object>) o;
            Date lastRequest = new Date((Long) map.get("lastRequest"));
            Object principal = map.get("principal");
            boolean expireState = (boolean) map.get("expireState");

            return new MySessionInformation(principal, sessionId, lastRequest, expireState);
        } catch (Exception e) {
            log.error("Failed to convert Map to Object!", e);
            return null;
        }
    }

    // 更新 session state
    public static void updateSessionState(SessionInformation sessionInformation) {
        RedisUtils.addHashValue(MySessionRegistry.SESSION_INFORMATION_PREFIX, sessionInformation.getSessionId(), sessionInformation,
                false);
    }
}

10.3、MySessionInformation

// 自定义 MySessionInformation 类继承 SessionInformation
public class MySessionInformation extends SessionInformation {

    private static final long serialVersionUID = 7136764596787584258L;

    // 过期状态 父类中也有一个过期状态 expired 但它只能读和设置为 true 不能设置为 false 所以自定义了一个属性
    private boolean expireState;

    public MySessionInformation(Object principal, String sessionId, Date lastRequest, boolean expireState) {
        super(principal, sessionId, lastRequest);
        this.expireState = expireState;
    }

    @Override   // 重写 expireNow 方法 其作用主要是使 session 失效
    public void expireNow() {
        String sessionId = getSessionId();
        MySessionInformation sessionInformation = MySessionRegistry.getSession(sessionId);
        if (sessionInformation != null) {
            super.expireNow();
            sessionInformation.setExpireState(true);
            MySessionRegistry.updateSessionState(sessionInformation);
        }
    }

    @Override
    public boolean isExpired() {
        return this.expireState;
    }

    public boolean isExpireState() {
        return expireState;
    }

    public void setExpireState(boolean expireState) {
        this.expireState = expireState;
    }
}

10.4、为什么要自定义 UserEntity 的反序列化方式？

由于反序列化容易被攻击，所以 spring security 针对存储敏感信息的类设计了一个反序列化类的白名单，即只有加入这个白名单的类才可被反序列化，其中 Authentication 接口、UserDetails 接口的实现类及一些权限相关的类若要反序列化则必须得加入白名单才可反序列化，因为我们自定义实现了 UserDetails 接口，所以需要将其加入到白名单中，而加入方式有两种，第一种是自定义反序列化方式，第二种是使用 jackson 相关注解。（其是根据异常信息来看还有第三种，那就是直接加入白名单，但维护白名单的集合是私有的，好像不太可）。而自定义的反序列化方式怎么和白名单关联起来，请看下文。

// 在 UserEntity 类中以内部类的方式实现 UserEntity 的反序列化方式
public static class UserEntityDeserializer extends JsonDeserializer<UserEntity> {

    @Override
    public UserEntity deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JacksonException {

        ObjectMapper mapper = (ObjectMapper) jsonParser.getCodec();
        JsonNode jsonNode = mapper.readTree(jsonParser);

        long id = getJsonNode(jsonNode, "id").asLong();
        String account = getJsonNode(jsonNode, "account").asText();
        String password = getJsonNode(jsonNode, "password").asText("");
        int accountType = getJsonNode(jsonNode, "accountType").asInt();
        String nickName = getJsonNode(jsonNode, "nickName").asText();
        int accountExpireState = getJsonNode(jsonNode, "accountExpireState").asInt();
        int passwordExpireState = getJsonNode(jsonNode, "passwordExpireState").asInt();
        int lockState = getJsonNode(jsonNode, "lockState").asInt();
        int enableState = getJsonNode(jsonNode, "enableState").asInt();
        List<String> roleList = mapper.convertValue(getJsonNode(jsonNode, "roleList"), new TypeReference<List<String>>() {});

        return UserEntity.builder()
            .id(id)
            .account(account)
            .password(password)
            .accountType(accountType)
            .nickName(nickName)
            .accountExpireState(accountExpireState)
            .passwordExpireState(passwordExpireState)
            .lockState(lockState)
            .enableState(enableState)
            .roleList(roleList)
            .build();
    }

    private JsonNode getJsonNode(JsonNode jsonNode, String field) {
        return jsonNode.has(field) ? jsonNode.get(field) : MissingNode.getInstance();
    }
}

@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS, include = JsonTypeInfo.As.PROPERTY, property = "@class")
@JsonAutoDetect(fieldVisibility = JsonAutoDetect.Visibility.ANY, getterVisibility = JsonAutoDetect.Visibility.NONE,
                isGetterVisibility = JsonAutoDetect.Visibility.NONE)
@JsonDeserialize(using = UserEntityDeserializer.class)
public abstract static class UserEntityMixin {

}

10.5、为什么要自定义注入一个 ObjectMapper？

在 spring boot 框架中，帮我们自动注入了一个 ObjectMapper bean，按理来说直接使用就可以，那为什么还要自定义注入呢？，请看以下代码（手动狗头）。

// 自定义注入 ObjectMapper bean
// 注入 redistemplate bean 时 value 的序列化和反序列化器需要将注入的这个 objectMapper 设置进去
@Bean("springSecurityObjectMapper")
public ObjectMapper springSecurityObjectMapper() {
    ObjectMapper objectMapper = new ObjectMapper();

    // 因为放入 redis 的 SecurityContext 中的 Authentication 接口的相关实现类没有无参构造函数 会导致反序列化失败
    // 所以需要借助 security 中的相关 module
    objectMapper.registerModules(SecurityJackson2Modules.getModules(getClass().getClassLoader()));

    // 由于反序列化经常出现漏洞 故 spring security 增加了反序列化类的白名单 即只有加入此白名单的类才可被反序列化
    // 而放入 redis 中的 SecurityContext 中的 authentication 中的 principal 对象实际上是我们自定义实现的用户类（UserEntity）
    // 该类需要被反序列化 但却没被加入白名单 所以需要将其加入白名单
    // 加入白名单有两种方式 即加入 mixIn 和 使用 jackson 相关注解（以下使用方式一）
    objectMapper.addMixIn(UserEntity.class, UserEntity.UserEntityMixin.class);
    return objectMapper;
}

10.6、spring session redis

spring 给我们提供了一个组件，spring session，是专门用来实现分布式 session 共享的，根本不用实现什么 repostory、registry，直接引入依赖，一个注解就成。（泪目！！！）。

<dependency>
    <groupId>org.springframework.sessiongroupId>
    <artifactId>spring-session-data-redisartifactId>
dependency>

// 在启动类上加上开启 spring session 的注解 @EnableRedisHttpSession
// 替换掉 spring session data redis 中的序列化和反序列化器
@Bean
public RedisSerializer<Object> springSessionDefaultRedisSerializer() {
    return new GenericJackson2JsonRedisSerializer(springSecurityObjectMapper);
}

// over!!!

11、SecurityConfig 完全体

// SecurityConfig
@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity,
                                                   AuthenticationSuccessHandler authenticationSuccessHandler,
                                                   AuthenticationFailureHandler authenticationFailureHandler,
                                                   AuthenticationEntryPoint authenticationEntryPoint,
                                                   SessionRegistry sessionRegistry,
                                                   SessionInformationExpiredStrategy sessionExpiredHandler,
                                                   SecurityContextRepository securityContextRepository,
                                                   AccessDeniedHandler accessDeniedHandler,
                                                   SmsAuthenticationConfigurer<HttpSecurity> smsAuthenticationConfigurer,
                                                   ObjectPostProcessor<FilterSecurityInterceptor> objectPostProcessor,
                                                   LogoutHandler logoutHandler,
                                                   LogoutSuccessHandler logoutSuccessHandler) throws Exception {

        // csrf
        httpSecurity.csrf()
                .disable();

        // 用户名密码认证
        httpSecurity.formLogin()
                .loginProcessingUrl("/admin/user/login")
                .usernameParameter("account")
                .passwordParameter("password")
                .successHandler(authenticationSuccessHandler)   // 认证成功处理器
                .failureHandler(authenticationFailureHandler);   // 认证失败处理器

        // 短信验证码认证
        httpSecurity.apply(smsAuthenticationConfigurer)
                .loginProcessingUrl("/admin/sms/login")
                .setSuccessHandler(authenticationSuccessHandler)
                .setFailureHandler(authenticationFailureHandler);

        // session 管理
        httpSecurity.sessionManagement()
                .maximumSessions(2)
                .maxSessionsPreventsLogin(false)
                .sessionRegistry(sessionRegistry)   // 单机不需要、使用 spring session 也不需要
                .expiredSessionStrategy(sessionExpiredHandler);

        // SecurityContext 仓储
        httpSecurity.securityContext()
                .requireExplicitSave(true)   // spring security 中关于 SecurityContext 的过滤器有两个 旧的被启用了 设置为 true 表示使用新的
                .securityContextRepository(securityContextRepository);   // 单机不需要、使用 spring session 也不需要

        // 认证入口
        httpSecurity.exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint);

        // FilterSecurityInterceptor expression 授权
        // 注：AuthorizationFilter 授权、FilterSecurityInterceptor url 授权、FilterSecurityInterceptor expression 授权 只能三选一
        httpSecurity.authorizeRequests()
                .withObjectPostProcessor(objectPostProcessor)   // FilterSecurityInterceptor 的后置处理器
                .antMatchers("/admin/user/login", "/admin/sms/login")
                .permitAll();

        // 授权失败处理器
        httpSecurity.exceptionHandling()
                .accessDeniedHandler(accessDeniedHandler);

        // 登出
        httpSecurity.logout()
                .logoutUrl("/admin/user/logout")   // 登出 url
                .invalidateHttpSession(true)   // 是否使 session 失效
                .clearAuthentication(true)   // 是否清除 authentication
                .addLogoutHandler(logoutHandler)   // 登出处理器
                .logoutSuccessHandler(logoutSuccessHandler);   // 登出成功处理器

        // AuthorizationFilter 授权
        /*httpSecurity.authorizeHttpRequests()
                    .antMatchers("/user/**", "/perm/**", "/role/**")
                    .hasAnyRole("SUPER-ADMIN", "ADMIN")
                    .antMatchers("/web/**")
                    .hasAnyRole("WEB");*/

        // FilterSecurityInterceptor url 授权
        /*httpSecurity.apply(new UrlAuthorizationConfigurer<>(httpSecurity.getSharedObject(ApplicationContext.class)))
                .withObjectPostProcessor(new ObjectPostProcessor() {
                    @Override
                    public  O postProcess(O object) {
                        object.setSecurityMetadataSource(securityMetadataSource);
                        return object;
                    }
                })
                .getRegistry()
                .antMatchers("/admin/user/login", "/admin/sms/login")
                        .hasAnyRole("LOGIN_ROLE");*/

        return httpSecurity.build();
    }

    @Bean("springSecurityObjectMapper")
    public ObjectMapper springSecurityObjectMapper() {
        ObjectMapper objectMapper = new ObjectMapper();

        // 因为放入 redis 的 SecurityContext 中的 Authentication 接口的相关实现类没有无参构造函数 会导致反序列化失败
        // 所以需要借助 security 中的相关 module
        objectMapper.registerModules(SecurityJackson2Modules.getModules(getClass().getClassLoader()));

        // 由于反序列化经常出现漏洞 故 spring security 增加了反序列化类的白名单 即只有加入此白名单的类才可被反序列化
        // 而放入 redis 中的 SecurityContext 中的 authentication 中的 principal 对象实际上是我们自定义实现的用户类（UserEntity）
        // 该类需要被反序列化 但却没被加入白名单 所以需要将其加入白名单
        // 加入白名单有两种方式 即加入 mixIn 和 使用 jackson 相关注解（以下使用方式一）
        objectMapper.addMixIn(UserEntity.class, UserEntity.UserEntityMixin.class);
        return objectMapper;
    }

    // 注入的这个 objectMapper 是响应前端是使用
    @Bean("objectMapper")
    public ObjectMapper objectMapper() {
        return new ObjectMapper();
    }
}

把少年留给琴弦，把深情留给琴键！

你可能感兴趣的:(spring,cloud,spring,全家桶,spring,java,spring,boot,spring,security)

Long类型前后端数据不一致 igotyback 前端
响应给前端的数据浏览器控制台中response中看到的Long类型的数据是正常的到前端数据不一致前后端数据类型不匹配是一个常见问题，尤其是当后端使用Java的Long类型（64位）与前端JavaScript的Number类型（最大安全整数为2^53-1，即16位）进行数据交互时，很容易出现精度丢失的问题。这是因为JavaScript中的Number类型无法安全地表示超过16位的整数。为了解决这个问
LocalDateTime 转 String igotyback java 开发语言
importjava.time.LocalDateTime;importjava.time.format.DateTimeFormatter;publicclassMain{publicstaticvoidmain(String[]args){//获取当前时间LocalDateTimenow=LocalDateTime.now();//定义日期格式化器DateTimeFormatterformat
Linux下QT开发的动态库界面弹出操作（SDL2） 13jjyao QT类 qt 开发语言 sdl2 linux
需求：操作系统为linux，开发框架为qt，做成需带界面的qt动态库，调用方为java等非qt程序难点：调用方为java等非qt程序，也就是说调用方肯定不带QApplication::exec()，缺少了这个，QTimer等事件和QT创建的窗口将不能弹出(包括opencv也是不能弹出)；这与qt调用本身qt库是有本质的区别的思路：1.调用方缺QApplication::exec()，那么我们在接口
DIV+CSS+JavaScript技术制作网页（旅游主题网页设计与制作）云南大理 STU学生网页设计网页设计期末网页作业 html静态网页 html5期末大作业网页设计 web大作业
️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业：【HTML5网页期末作业(1000套)】程序员有趣的告白方式：【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面：计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
【华为OD机试真题2023B卷 JAVA&JS】We Are A Team 若博豆 java 算法华为 javascript
华为OD2023（B卷）机试题库全覆盖，刷题指南点这里WeAreATeam时间限制：1秒|内存限制：32768K|语言限制：不限题目描述：总共有n个人在机房，每个人有一个标号（1<=标号<=n），他们分成了多个团队，需要你根据收到的m条消息判定指定的两个人是否在一个团队中，具体的：1、消息构成为：abc，整数a、b分别代
关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript 二挡起步 web前端期末大作业 javascript html css 旅游风景
⛵源码获取文末联系✈Web前端开发技术描述网页设计题材，DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业，Web大学生网页HTML：结构CSS：样式在操作方面上运用了html5和css3，采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
HTML网页设计制作大作业（div+css）云南我的家乡旅游景点带文字滚动二挡起步 web前端期末大作业 web设计网页规划与设计 html css javascript dreamweaver 前端
Web前端开发技术描述网页设计题材，DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML：结构CSS：样式在操作方面上运用了html5和css3，采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript：做与用户的交互行为文章目录前端学习路线
node.js学习小猿L node.js node.js 学习 vim
node.js学习实操及笔记温故node.js，node.js学习实操过程及笔记~node.js学习视频node.js官网node.js中文网实操笔记githubcsdn笔记为什么学node.js可以让别人访问我们编写的网页为后续的框架学习打下基础，三大框架vuereactangular离不开node.jsnode.js是什么官网：node.js是一个开源的、跨平台的运行JavaScript的运行
SpringBlade dict-biz/list 接口 SQL 注入漏洞文章永久免费只为良心 oracle 数据库
SpringBladedict-biz/list接口SQL注入漏洞POC:构造请求包查看返回包你的网址/api/blade-system/dict-biz/list?updatexml(1,concat(0x7e,md5(1),0x7e),1)=1漏洞概述在SpringBlade框架中，如果dict-biz/list接口的后台处理逻辑没有正确地对用户输入进行过滤或参数化查询（PreparedSta
Java 重写(Override)与重载(Overload) 叨唧唧的
Java重写(Override)与重载(Overload)重写(Override)重写是子类对父类的允许访问的方法的实现过程进行重新编写,返回值和形参都不能改变。即外壳不变，核心重写！重写的好处在于子类可以根据需要，定义特定于自己的行为。也就是说子类能够根据需要实现父类的方法。重写方法不能抛出新的检查异常或者比被重写方法申明更加宽泛的异常。例如：父类的一个方法申明了一个检查异常IOExceptio
简单了解 JVM 记得开心一点啊 jvm
目录♫什么是JVM♫JVM的运行流程♫JVM运行时数据区♪虚拟机栈♪本地方法栈♪堆♪程序计数器♪方法区/元数据区♫类加载的过程♫双亲委派模型♫垃圾回收机制♫什么是JVMJVM是JavaVirtualMachine的简称，意为Java虚拟机。虚拟机是指通过软件模拟的具有完整硬件功能的、运行在一个完全隔离的环境中的完整计算机系统（如：JVM、VMwave、VirtualBox）。JVM和其他两个虚拟机
1分钟解决 -bash: mvn: command not found，在Centos 7中安装Maven Energet!c 开发语言
1分钟解决-bash:mvn:commandnotfound，在Centos7中安装Maven检查Java环境1下载Maven2解压Maven3配置环境变量4验证安装5常见问题与注意事项6总结检查Java环境Maven依赖Java环境，请确保系统已经安装了Java并配置了环境变量。可以通过以下命令检查：java-version如果未安装，请先安装Java。1下载Maven从官网下载：前往Apach
Java企业面试题3 马龙强_ java
1.break和continue的作用(智*图)break：用于完全退出一个循环（如for,while）或一个switch语句。当在循环体内遇到break语句时，程序会立即跳出当前循环体，继续执行循环之后的代码。continue：用于跳过当前循环体中剩余的部分，并开始下一次循环。如果是在for循环中使用continue，则会直接进行条件判断以决定是否执行下一轮循环。2.if分支语句和switch分
JVM、JRE和 JDK：理解Java开发的三大核心组件 Y雨何时停T Java java
Java是一门跨平台的编程语言，它的成功离不开背后强大的运行环境与开发工具的支持。在Java的生态中，JVM（Java虚拟机）、JRE（Java运行时环境）和JDK（Java开发工具包）是三个至关重要的核心组件。本文将探讨JVM、JDK和JRE的区别，帮助你更好地理解Java的运行机制。1.JVM：Java虚拟机（JavaVirtualMachine）什么是JVM？JVM，即Java虚拟机，是Ja
Java面试题精选：消息队列(二) 芒果不是芒 Java面试题精选 java kafka
一、Kafka的特性1.消息持久化：消息存储在磁盘，所以消息不会丢失2.高吞吐量：可以轻松实现单机百万级别的并发3.扩展性：扩展性强，还是动态扩展4.多客户端支持：支持多种语言（Java、C、C++、GO、）5.KafkaStreams（一个天生的流处理）:在双十一或者销售大屏就会用到这种流处理。使用KafkaStreams可以快速的把销售额统计出来6.安全机制：Kafka进行生产或者消费的时候会
白骑士的Java教学基础篇 2.5 控制流语句白骑士所长 Java 教学 java 开发语言
欢迎继续学习Java编程的基础篇！在前面的章节中，我们了解了Java的变量、数据类型和运算符。接下来，我们将探讨Java中的控制流语句。控制流语句用于控制程序的执行顺序，使我们能够根据特定条件执行不同的代码块，或重复执行某段代码。这是编写复杂程序的基础。通过学习这一节内容，你将掌握如何使用条件语句和循环语句来编写更加灵活和高效的代码。条件语句条件语句用于根据条件的真假来执行不同的代码块。if语句‘
python语法——三目运算符 HappyRocking python python 三目运算符
在java中，有三目运算符，如：intc=(a>b)?a:b表示c取两者中的较大值。但是在python，不能直接这样使用，估计是因为冒号在python有分行的关键作用。那么在python中，如何实现类似功能呢？可以使用ifelse语句，也是一行可以完成，格式为：aifbelsec表示如果b为True，则表达式等于a，否则等于c。如：c=(aif(a>b)elseb)同样是完成了取最大值的功能。
spring如何整合druid连接池？惜.己 spring spring junit 数据库 java idea 后端 xml
目录spring整合druid连接池1.新建maven项目2.新建mavenModule3.导入相关依赖4.配置log4j2.xml5.配置druid.xml1)xml中如何引入properties2)下面是配置文件6.准备jdbc.propertiesJDBC配置项解释7.配置druid8.测试spring整合druid连接池1.新建maven项目打开IDE（比如IntelliJIDEA,Ecl
ArrayList 源码解析程序猿进阶 Java基础 ArrayList List java 面试性能优化架构设计 idea
ArrayList是Java集合框架中的一个动态数组实现，提供了可变大小的数组功能。它继承自AbstractList并实现了List接口，是顺序容器，即元素存放的数据与放进去的顺序相同，允许放入null元素，底层通过数组实现。除该类未实现同步外，其余跟Vector大致相同。每个ArrayList都有一个容量capacity，表示底层数组的实际大小，容器内存储元素的个数不能多于当前容量。当向容器中添
Java爬虫框架（一）--架构设计狼图腾-狼之传说 java 框架 java 任务 html解析器存储电子商务
一、架构图那里搜网络爬虫框架主要针对电子商务网站进行数据爬取，分析，存储，索引。爬虫：爬虫负责爬取，解析，处理电子商务网站的网页的内容数据库：存储商品信息索引：商品的全文搜索索引Task队列：需要爬取的网页列表Visited表：已经爬取过的网页列表爬虫监控平台：web平台可以启动，停止爬虫，管理爬虫，task队列，visited表。二、爬虫1.流程1)Scheduler启动爬虫器，TaskMast
Java：爬虫框架 dingcho Java java 爬虫
一、ApacheNutch2【参考地址】Nutch是一个开源Java实现的搜索引擎。它提供了我们运行自己的搜索引擎所需的全部工具。包括全文搜索和Web爬虫。Nutch致力于让每个人能很容易,同时花费很少就可以配置世界一流的Web搜索引擎.为了完成这一宏伟的目标,Nutch必须能够做到:每个月取几十亿网页为这些网页维护一个索引对索引文件进行每秒上千次的搜索提供高质量的搜索结果简单来说Nutch支持分
python怎么将png转为tif_png转tif weixin_39977276
发国外的文章要求图片是tif，cmyk色彩空间的。大小尺寸还有要求。比如网上大神多，找到了一段代码，感谢！https://www.jianshu.com/p/ec2af4311f56https://github.com/KevinZc007/image2Tifimportjava.awt.image.BufferedImage;importjava.io.File;importjava.io.Fi
SpringCloudAlibaba—Sentinel(限流) 菜鸟爪哇
前言：自己在学习过程的记录，借鉴别人文章，记录自己实现的步骤。借鉴文章：https://blog.csdn.net/u014494148/article/details/105484410Sentinel介绍Sentinel诞生于阿里巴巴，其主要目标是流量控制和服务熔断。Sentinel是通过限制并发线程的数量（即信号隔离）来减少不稳定资源的影响，而不是使用线程池，省去了线程切换的性能开销。当资源
springboot+vue项目实战一-创建SpringBoot简单项目苹果酱0567 面试题汇总与解析 spring boot 后端 java 中间件开发语言
这段时间抽空给女朋友搭建一个个人博客，想着记录一下建站的过程，就当做笔记吧。虽然复制zjblog只要一个小时就可以搞定一个网站，或者用cms系统，三四个小时就可以做出一个前后台都有的网站，而且想做成啥样也都行。但是就是要从新做，自己做的意义不一样，更何况，俺就是专门干这个的，嘿嘿嘿要做一个网站，而且从零开始，首先呢就是技术选型了，经过一番思量决定选择-SpringBoot做后端，前端使用Vue做一
JavaScript 中，深拷贝（Deep Copy）和浅拷贝（Shallow Copy）跳房子的前端前端面试 javascript 开发语言 ecmascript
在JavaScript中，深拷贝（DeepCopy）和浅拷贝（ShallowCopy）是用于复制对象或数组的两种不同方法。了解它们的区别和应用场景对于避免潜在的bugs和高效地处理数据非常重要。以下是对深拷贝和浅拷贝的详细解释，包括它们的概念、用途、优缺点以及实现方式。1.浅拷贝（ShallowCopy）概念定义：浅拷贝是指创建一个新的对象或数组，其中包含了原对象或数组的基本数据类型的值和对引用数
JAVA·一个简单的登录窗口 MortalTom java 开发语言学习
文章目录概要整体架构流程技术名词解释技术细节资源概要JavaSwing是Java基础类库的一部分，主要用于开发图形用户界面（GUI）程序整体架构流程新建项目，导入sql.jar包（链接放在了文末），编译项目并运行技术名词解释一、特点丰富的组件提供了多种可视化组件，如按钮（JButton）、文本框（JTextField）、标签（JLabel）、下拉列表（JComboBox）等，可以满足不同的界面设计
Spring MVC 全面指南：从入门到精通的详细解析一杯梅子酱技术栈学习 spring mvc java
引言：SpringMVC，作为Spring框架的一个重要模块，为构建Web应用提供了强大的功能和灵活性。无论是初学者还是有一定经验的开发者，掌握SpringMVC都将显著提升你的Web开发技能。本文旨在为初学者提供一个全面且易于理解的学习路径，通过详细的知识点分析和实际案例，帮助你快速上手SpringMVC，让学习过程既深刻又高效。一、SpringMVC简介1.1什么是SpringMVC？Spri
Spring Boot中实现跨域请求 BABA8891 spring boot 后端 java
在SpringBoot中实现跨域请求（CORS，Cross-OriginResourceSharing）可以通过多种方式，以下是几种常见的方法：1.使用@CrossOrigin注解在SpringBoot中，你可以在控制器或者具体的请求处理方法上使用@CrossOrigin注解来允许跨域请求。在控制器上应用：importorg.springframework.web.bind.annotation.
WebMagic：强大的Java爬虫框架解析与实战 Aaron_945 Java java 爬虫开发语言
文章目录引言官网链接WebMagic原理概述基础使用1.添加依赖2.编写PageProcessor高级使用1.自定义Pipeline2.分布式抓取优点结论引言在大数据时代，网络爬虫作为数据收集的重要工具，扮演着不可或缺的角色。Java作为一门广泛使用的编程语言，在爬虫开发领域也有其独特的优势。WebMagic是一个开源的Java爬虫框架，它提供了简单灵活的API，支持多线程、分布式抓取，以及丰富的
博客网站制作教程 2401_85194651 java maven
首先就是技术框架：后端：Java+SpringBoot数据库：MySQL前端：Vue.js数据库连接：JPA(JavaPersistenceAPI)1.项目结构blog-app/├──backend/│├──src/main/java/com/example/blogapp/││├──BlogApplication.java││├──config/│││└──DatabaseConfig.java
java类加载顺序 3213213333332132 java
package com.demo; /** * @Description 类加载顺序 * @author FuJianyong * 2015-2-6上午11:21:37 */ public class ClassLoaderSequence { String s1 = "成员属性"; static String s2 = "
Hibernate与mybitas的比较 BlueSkator sql Hibernate 框架 ibatis orm
第一章 Hibernate与MyBatis Hibernate 是当前最流行的O/R mapping框架，它出身于sf.net，现在已经成为Jboss的一部分。 Mybatis 是另外一种优秀的O/R mapping框架。目前属于apache的一个子项目。 MyBatis 参考资料官网：http:
php多维数组排序以及实际工作中的应用 dcj3sjt126com PHP usort uasort
自定义排序函数返回false或负数意味着第一个参数应该排在第二个参数的前面, 正数或true反之, 0相等usort不保存键名uasort 键名会保存下来uksort 排序是对键名进行的 <!doctype html> <html lang="en"> <head> <meta charset="utf-8&q
DOM改变字体大小周华华前端
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
c3p0的配置 g21121 c3p0
c3p0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。c3p0的下载地址是：http://sourceforge.net/projects/c3p0/这里可以下载到c3p0最新版本。以在spring中配置dataSource为例：  <bean name="prope
Java获取工程路径的几种方法 510888780 java
第一种： File f = new File(this.getClass().getResource("/").getPath()); System.out.println(f); 结果: C:\Documents%20and%20Settings\Administrator\workspace\projectName\bin 获取当前类的所在工程路径; 如果不加“
在类Unix系统下实现SSH免密码登录服务器 Harry642 免密 ssh
1.客户机 (1)执行ssh-keygen -t rsa -C "[email protected]"生成公钥，xxx为自定义大email地址 (2)执行scp ~/.ssh/id_rsa.pub root@xxxxxxxxx:/tmp将公钥拷贝到服务器上，xxx为服务器地址 (3)执行cat
Java新手入门的30个基本概念一 aijuans java java 入门新手
在我们学习Java的过程中,掌握其中的基本概念对我们的学习无论是J2SE,J2EE,J2ME都是很重要的,J2SE是Java的基础,所以有必要对其中的基本概念做以归纳,以便大家在以后的学习过程中更好的理解java的精髓,在此我总结了30条基本的概念。　　Java概述:　　目前Java主要应用于中间件的开发(middleware)---处理客户机于服务器之间的通信技术,早期的实践证明,Java不适合
Memcached for windows 简单介绍 antlove java Web windows cache memcached
1. 安装memcached server a. 下载memcached-1.2.6-win32-bin.zip b. 解压缩，dos 窗口切换到 memcached.exe所在目录，运行memcached.exe -d install c.启动memcached Server,直接在dos窗口键入 net start "memcached Server&quo
数据库对象的视图和索引百合不是茶索引 oeacle数据库视图
视图视图是从一个表或视图导出的表，也可以是从多个表或视图导出的表。视图是一个虚表，数据库不对视图所对应的数据进行实际存储，只存储视图的定义，对视图的数据进行操作时,只能将字段定义为视图,不能将具体的数据定义为视图为什么oracle需要视图; &
Mockito(一) --入门篇 bijian1013 持续集成 mockito 单元测试
Mockito是一个针对Java的mocking框架，它与EasyMock和jMock很相似，但是通过在执行后校验什么已经被调用，它消除了对期望行为（expectations）的需要。其它的mocking库需要你在执行前记录期望行为（expectations），而这导致了丑陋的初始化代码。 &nb
精通Oracle10编程SQL(5)SQL函数 bijian1013 oracle 数据库 plsql
/* * SQL函数 */ --数字函数 --ABS(n):返回数字n的绝对值 declare v_abs number(6,2); begin v_abs:=abs(&no); dbms_output.put_line('绝对值：'||v_abs); end; --ACOS(n):返回数字n的反余弦值，输入值的范围是-1~1，输出值的单位为弧度
【Log4j一】Log4j总体介绍 bit1129 log4j
Log4j组件：Logger、Appender、Layout Log4j核心包含三个组件：logger、appender和layout。这三个组件协作提供日志功能：日志的输出目标日志的输出格式日志的输出级别(是否抑制日志的输出) logger继承特性 A logger is said to be an ancestor of anothe
Java IO笔记白糖_ java
public static void main(String[] args) throws IOException { //输入流 InputStream in = Test.class.getResourceAsStream("/test"); InputStreamReader isr = new InputStreamReader(in); Bu
Docker 监控 ronin47 docker监控
目前项目内部署了docker，于是涉及到关于监控的事情，参考一些经典实例以及一些自己的想法，总结一下思路。 1、关于监控的内容监控宿主机本身监控宿主机本身还是比较简单的，同其他服务器监控类似，对cpu、network、io、disk等做通用的检查，这里不再细说。额外的，因为是docker的
java-顺时针打印图形 bylijinnan java
一个画图程序要求打印出： 1.int i=5; 2.1 2 3 4 5 3.16 17 18 19 6 4.15 24 25 20 7 5.14 23 22 21 8 6.13 12 11 10 9 7. 8.int i=6 9.1 2 3 4 5 6 10.20 21 22 23 24 7 11.19
关于iReport汉化版强制使用英文的配置方法 Kai_Ge iReport汉化英文版
对于那些具有强迫症的工程师来说，软件汉化固然好用，但是汉化不完整却极为头疼，本方法针对iReport汉化不完整的情况，强制使用英文版，方法如下：在 iReport 安装路径下的 etc/ireport.conf 里增加红色部分启动参数，即可变为英文版。 # ${HOME} will be replaced by user home directory accordin
[并行计算]论宇宙的可计算性 comsci 并行计算
现在我们知道,一个涡旋系统具有并行计算能力.按照自然运动理论,这个系统也同时具有存储能力,同时具备计算和存储能力的系统,在某种条件下一般都会产生意识...... 那么,这种概念让我们推论出一个结论 &nb
用OpenGL实现无限循环的coverflow dai_lm android coverflow
网上找了很久，都是用Gallery实现的，效果不是很满意，结果发现这个用OpenGL实现的，稍微修改了一下源码，实现了无限循环功能源码地址： https://github.com/jackfengji/glcoverflow public class CoverFlowOpenGL extends GLSurfaceView implements GLSurfaceV
JAVA数据计算的几个解决方案1 datamachine java Hibernate 计算
老大丢过来的软件跑了10天，摸到点门道，正好跟以前攒的私房有关联，整理存档。 -----------------------------华丽的分割线------------------------------------- 数据计算层是指介于数据存储和应用程序之间，负责计算数据存储层的数据，并将计算结果返回应用程序的层次。J &nbs
简单的用户授权系统,利用给user表添加一个字段标识管理员的方式 dcj3sjt126com yii
怎么创建一个简单的(非 RBAC)用户授权系统通过查看论坛，我发现这是一个常见的问题，所以我决定写这篇文章。本文只包括授权系统.假设你已经知道怎么创建身份验证系统(登录)。数据库首先在 user 表创建一个新的字段(integer 类型),字段名 'accessLevel',它定义了用户的访问权限扩展 CWebUser 类在配置文件(一般为 protecte
未选之路 dcj3sjt126com 诗
作者:罗伯特*费罗斯特黄色的树林里分出两条路, 可惜我不能同时去涉足, 我在那路口久久伫立, 我向着一条路极目望去, 直到它消失在丛林深处. 但我却选了另外一条路, 它荒草萋萋,十分幽寂; 显得更诱人,更美丽, 虽然在这两条小路上, 都很少留下旅人的足迹. 那天清晨落叶满地, 两条路都未见脚印痕迹. 呵,留下一条路等改日再
Java处理15位身份证变18位蕃薯耀 18位身份证变15位 15位身份证变18位身份证转换
15位身份证变18位，18位身份证变15位 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 201
SpringMVC4零配置--应用上下文配置【AppConfig】 hanqunfeng springmvc4
从spring3.0开始，Spring将JavaConfig整合到核心模块，普通的POJO只需要标注@Configuration注解，就可以成为spring配置类，并通过在方法上标注@Bean注解的方式注入bean。 Xml配置和Java类配置对比如下： applicationContext-AppConfig.xml <!-- 激活自动代理功能参看：
Android中webview跟JAVASCRIPT中的交互 jackyrong JavaScript html android 脚本
在android的应用程序中,可以直接调用webview中的javascript代码,而webview中的javascript代码,也可以去调用ANDROID应用程序(也就是JAVA部分的代码).下面举例说明之: 1 JAVASCRIPT脚本调用android程序要在webview中,调用addJavascriptInterface(OBJ,int
8个最佳Web开发资源推荐 lampcy 编程 Web 程序员
Web开发对程序员来说是一项较为复杂的工作，程序员需要快速地满足用户需求。如今很多的在线资源可以给程序员提供帮助，比如指导手册、在线课程和一些参考资料，而且这些资源基本都是免费和适合初学者的。无论你是需要选择一门新的编程语言，或是了解最新的标准，还是需要从其他地方找到一些灵感，我们这里为你整理了一些很好的Web开发资源，帮助你更成功地进行Web开发。这里列出10个最佳Web开发资源，它们都是受
架构师之面试------jdk的hashMap实现 nannan408 HashMap
1.前言。如题。 2.详述。 (1)hashMap算法就是数组链表。数组存放的元素是键值对。jdk通过移位算法（其实也就是简单的加乘算法），如下代码来生成数组下标(生成后indexFor一下就成下标了）。 static int hash(int h) { h ^= (h >>> 20) ^ (h >>>
html禁止清除input文本输入缓存 Rainbow702 html 缓存 input 输入框 change
多数浏览器默认会缓存input的值，只有使用ctl+F5强制刷新的才可以清除缓存记录。如果不想让浏览器缓存input的值，有2种方法：方法一：在不想使用缓存的input中添加 autocomplete="off"; <input type="text" autocomplete="off" n
POJO和JavaBean的区别和联系 tjmljw POJO java beans
POJO 和JavaBean是我们常见的两个关键字，一般容易混淆，POJO全称是Plain Ordinary Java Object / Pure Old Java Object，中文可以翻译成：普通Java类，具有一部分getter/setter方法的那种类就可以称作POJO，但是JavaBean则比 POJO复杂很多， Java Bean 是可复用的组件，对 Java Bean 并没有严格的规
java中单例的五种写法 liuxiaoling java 单例
/** * 单例模式的五种写法： * 1、懒汉 * 2、恶汉 * 3、静态内部类 * 4、枚举 * 5、双重校验锁 */ /** * 五、双重校验锁，在当前的内存模型中无效 */ class LockSingleton { private volatile static LockSingleton singleton; pri