宁波实习记录(七)——基于springSercurity的权限管理(认证与授权)

最新推荐文章于 2020-07-31 17:40:53 发布
最新推荐文章于 2020-07-31 17:40:53 发布
阅读量501 收藏 1
点赞数 1
分类专栏: java后台开发培训记录 文章标签: SSM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gyx1549624673/article/details/96284494
版权

主要实现:SSM框架下使用springSecurity实现登录的认证与授权
认证:即判断登录用户的用户名和密码是否正确
授权:即判断该用户可以执行哪些操作,对哪些页面有访问权限

一、前期准备

1.在项目下的pom.xml文件中分别加入以下两段内容:

<spring.security.version>5.0.1.RELEASE</spring.security.version>

加入到properties中用来声明版本

 <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>${spring.security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>${spring.security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-core</artifactId>
        <version>${spring.security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-taglibs</artifactId>
        <version>${spring.security.version}</version>
    </dependency>

加入到dependencies中用来声明引入的jar包

2.在WEB-INF目录下的web.xml文件中添加过滤器,即在该文件中添加代码如下

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.spring-security.xml核心配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
       配置具体的规则
       auto-config="true" 不用自己编写登录的页面,框架提供默认登录页面
       use-expressions="false"    是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userInfoService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
       <security:authentication-provider>
          <security:user-service>
             <security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
          </security:user-service>
       </security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

加载springSecurity.xml:

在web.xml 里面加载springSecurity.xml,方法是在该文件中的context-param中的param-value新增classpath:spring-security.xml,如下图

在这里插入图片描述
在数据库中新建两张表role和user_role
在这里插入图片描述
在这里插入图片描述
表中的数据如下
role表
在这里插入图片描述
user_role表

在这里插入图片描述

二、改代码

1.UserService.java接口继承UserDetailsService
在这里插入图片描述
首先要在IUserInfoDao中定义findUserByName方法,并在UserMapper.xml中实现

在这里插入图片描述
UserInfo.xml中增加

<select id="findUserByName" parameterType="String" resultType="com.zhongruan.bean.UserInfo">
    select * from userinfo where name=#{name}
</select>

2.增加Role实体类

package com.zhongruan.bean;

public class Role {
    private int id;
    private String roleName;
    private String roleDesc;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getRoleName() {
        return roleName;
    }

    public void setRoleName(String roleName) {
        this.roleName = roleName;
    }

    public String getRoleDesc() {
        return roleDesc;
    }

    public void setRoleDesc(String roleDesc) {
        this.roleDesc = roleDesc;
    }

    @Override
    public String toString() {
        return "Role{" +
                "id=" + id +
                ", roleName='" + roleName + '\'' +
                ", roleDesc='" + roleDesc + '\'' +
                '}';
    }
}

3.增加IRoleDao接口

package com.zhongruan.dao;

import com.zhongruan.bean.Role;

import javax.print.DocFlavor;
import java.util.List;

public interface IRoleDao {
    List<Role> findRoleByUserId(int userId);
}

4.新建RoleMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.zhongruan.dao.IRoleDao" >
    <select id="findRoleByUserId" parameterType="int" resultType="com.zhongruan.bean.Role">
        select * from role where id in (select roleId from user_role where userId=#{userId})
    </select>

</mapper>

5.改写UserInfoServiceImpl

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    UserInfo userInfo =userInfoDao.findUserByName(username);
    List<Role>roles=roleDao.findRoleByUserId(userInfo.getId());
    User user=new User(userInfo.getName(),"{noop}"+userInfo.getPassword(),getAuthority(roles));
    return user;
}

private Collection<? extends GrantedAuthority> getAuthority(List<Role> roles) {
    List<SimpleGrantedAuthority>list=new ArrayList<>();
    for(Role role:roles){
        list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));

    }
    return list;
}

可以将UserInfoController中的login.do方法注释掉
6.修改login.jsp
修改响应路径即可
在这里插入图片描述

小插曲,遇到了传参问题

loadUserByUsername 默认参数名为 String username,页面提交参数名必须也为username,否则security取不到值

GUANYX~
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring sercurity之鉴权
知我饭否
10-06 1176
在上一篇博客登录用户,我们需要对资源 url进行保护,这个就用到了鉴权。 我个人理解,spring sercurity 的鉴权的类 主要有这两个类。当然 我们也可以自定义类来完成相同的功能。 FilterSecurityInterceptor 这个类和我们配置文件的authorizeRequests息息相关,例如 那个url 需要登录,哪个url 不需要登录 就可以访问。 MethodSecur...
Spring Sercurity OAuth2的介绍以及主要授权模式的使用
YOUNGljx的博客
05-03 452
一个Java小白的学习之路 个人博客 youngljx.top OAuth2的介绍 OAuth2的基本角色: 用户(资源所有者) 客户端(第三方应用) 授权服务器 资源服务器 授权流程: 用户打开客户端以后,客户端要求用户给予授权 用户同意给予客户端授权 用户端使用获取的授权认证服务器申请令牌。 认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 客户端使用令牌,向资源服务器申请...
实习小结(三)--- 权限管理(RBAC)
weixin_30795127的博客
03-25 155
  这一周,大多数时间 用来做需求分析,细化每个页面需要实现的功能。由于这个项目需要四种身份登录查看,分别是学生,老师,领导,管理员。每个身份登入系统显示得页面都不相同,四个角色分析完成后,统计了一下页面,居然达到40多个。。。数据库中一共只有六个,存在多个页面之间数据重复显示得现象。这时候就需要加入权限管理,一个页面,每个人登录进来后只要显示得页面不同即可。   设计理念参照了RBAC,这...
Spring boot 整合 shiro 进行登录验证和权限控制
实习打字猿的博客
04-18 361
# 初步认识 shiro AuthorizingRealm 抽象类中有两大方法 doGetAuthenticationInfo() 和 doGetAuthorizationInfo() doGetAuthenticationInfo(),方法完成了用户认证操作 doGetAuthorizationInfo(),方法完成Shiro的权限控制功能 doGetAuthenticationInf...
登录权限,认证
weixin_30347009的博客
11-16 134
自定义realm整合 此realm目的根据名字从数据库中拿到密码完成认证,并且查找有什么权限(permission)交给SimpleAuthenticationInfo完成认证 然后交给Authorizztioninfo 把其该有的权限授予即可 继承AuthorizationInfo(授权) 完成认证,String userName = token.getPrincipal().toSt...
优化政策 促进新能源汽车发展——基于宁波与深圳的政策比较.pdf
08-31
对比宁波与深圳的新能源汽车推广应用情况,可以看出两者在充电桩建设、政策出台时间和频率以及政策体系完善程度上的差异。深圳在2009年就开始实施新能源汽车产业振兴计划,并制定了详细的推广实施方案,而宁波则在...
集装箱港口对宁波外贸增长的贡献——基于1990—2007年的数据分析
02-06
集装箱港口对宁波外贸增长的贡献——基于1990—2007年的数据分析,韦世雷,,本文利用1990----2007年宁波进口、出口、进出口和宁波港集装箱吞吐量相关数据,对集装箱吞吐量与进口、出口和进出口进行回归分析,揭
港口与城市经济之间的关系研究——基于灰色系统理论的宁波个例分析
01-16
港口与城市经济之间的关系研究——基于灰色系统理论的宁波个例分析,龚勇,,中国已成为世界上港口吞吐量和集装箱吞吐量最多、增长速度最快的国家。中国的港口特别是大型集装箱港口在促进经济发展中扮演着极
外商直接投资对宁波经济增长的影响——基于协整理论的实证研究
01-16
外商直接投资对宁波经济增长的影响——基于协整理论的实证研究,戴桂林,,本文基于宁波市1990-2007年的GDP、FDI和内资产值的数据,对宁波市FDI与GDP之间的关系作了定性的分析,接下来选取天津、上海等五大沿海城
优化政策 加强统筹 促进新能源汽车发展——基于宁波与深圳的比较研究分析.pdf
08-31
新能源汽车产业是中国近年来重点发展的战略新兴产业,对于推动能源结构转型、减少环境污染、促进经济增长具有重要意义。...宁波与深圳的对比研究提供了宝贵的经验,对于其他城市推动新能源汽车产业发展也具有参考价值。
项目中用到Shiro安全配置用于系统的登录和权限认证
weixin_33906657的博客
02-01 146
为什么80%的码农都做不了架构师?>>> ...
spring中如何通过注解管理所有路径及对应权限
qq_35488769的博客
09-13 844
在为web应用实现权限管理时通常需要我们手动为每个路径添加对应的权限,名称以及相关信息,以便于实现统一管理,但手动录入未免太过繁琐,这里借助注解的方式实现类似swagger的功能,能在开发时直接为路径添加信息,实现统一管理。
权限管理框架-spring-Sercurity概念及快速入门步骤代码详解
lilei的博客
03-19 3670
SpringSecurity概念 SpringSecurity是一个安全管理框架,提供了认证授权这些基本操作 认证用户访问系统,系统校验用户身份是否合法的过程就是认证。常见的认证: 登陆认证授权用户认证后,访问系统资源,校验用户是否有权限访问系统资源的过程就是授权访问校验,简称为授权。权限校验过程:1.获取用户的权限; 2. 知道访问资源需要的权限;3.拿着访问资源需要的权...
spring学习笔记--二
ソo挑戰妳ゞ
07-30 101
spring的两种注入方式:xml形式及注解形式,xml形式在上一篇文章差不多已讲解,在这主要叙述一下spring的注解形式。 在用注解之前需要 a.加入common-annotations.jar包,还有spring.jar最好用2.5以上的,说是说spring.jar 2.0支持,可我在测试的过程发现用spring.jar 2.0好象有问题,后来换成2.5后就好使了。 b.需加入它的命名...
SpringBoot集成SpringSecurity完成权限拦截操作
热门推荐
志豪的博客
01-15 1万+
SpringBoot集成 SpringSecurity和JWT 实现认证授权(一) SpringSecurity(SpringSecurity是一个强大的可高度定制的认证授权框架,对于Spring应用来说它是一套Web安全标准) JWT(JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。...
Spring Security--角色权限判断
我和井盖都笑了博客
04-05 3669
    角色权限判断       除了之前讲解的内置权限控制。Spring Security 中还支持很多其 他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否 具有特定的要求。     1 hasAuthority(String)  &n...
spring-boot框架基础
无畏D尘埃
01-02 2264
======================1、零基础快速入门SpringBoot2.0 5节课 =========================== 1、SpringBoot2.x课程全套介绍和高手系列知识点 简介:介绍SpringBoot2.x课程大纲章节 java基础,jdk环境,maven基础 2、SpringBoot2.x依赖环境和版本新特性说明 简介:讲解新版本依赖环境和...
spring-sercurity学习笔记
DawnOfKing的博客
03-16 287
1.pom中引入包,版本号 <spring.security.version>5.0.1.RELEASE</spring.security.version> <dependency> <groupId>org.springframework.security</groupId> <artifactId&gt...
(十四)Spring中的BeanWrapper及类型转换
开心就好
07-31 6922
Spring官网阅读(十四)Spring中的BeanWrapper及类型转换 BeanWrapper是Spring中一个很重要的接口,Spring在通过配置信息创建对象时,第一步首先就是创建一个BeanWrapper。这篇文章我们就分析下这个接口,本文内容主要对应官网中的3.3及3.4小结 接口定义 // Spring低级JavaBeans基础设施的中央接口。通常来说并不直接使用BeanWrapper,而是借助BeanFactory或者DataBinder来一起使用,BeanWrapper对Spring
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值