SpringSecurity登录验证和鉴权粗解

最新推荐文章于 2023-12-23 19:44:42 发布
最新推荐文章于 2023-12-23 19:44:42 发布
阅读量987 收藏 4
点赞数 1
文章标签: java 前端 bootstrap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaFrom0To100/article/details/132857579
版权

一、概念:

SpringSecurity是Spring家族中的一个安全管理框架,它的底层是一系列的拦截器和拦截规则,相当于一个拦截器链

二、核心作用:

认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户

授权:经过认证后判断当前用户是否有权限进行某个操作

三、核心流程图:

四、核心配置接口:WebSecurityConfigurerAdapter

在项目中使用一般定义一个配置类实现该接口,然后即可通过重新其中的配置方法对SpringSecurity相关规则进行配置,示例代码如下:

/** * spring security配置 *  *  */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**     * 自定义用户认证逻辑     */  
      @Autowired  
        private UserDetailsService userDetailsService;
    
    /**     * 认证失败处理类     */  
      @Autowired 
         private AuthenticationEntryPointImpl unauthorizedHandler;

    /**     * 退出处理类     */   
     @Autowired   
      private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**     * token认证过滤器     */   
     @Autowired  
       private JwtAuthenticationTokenFilter authenticationTokenFilter;

    /**     * 跨域过滤器     */ 
       @Autowired  
         private CorsFilter corsFilter;
    
    /**     * 解决 无法直接注入 AuthenticationManager    
     *     * @return     
     * @throws Exception     */   
     @Bean   
      @Override  
        public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**     * anyRequest          |   匹配所有请求路径     
    * access              |   SpringEl表达式结果为true时可以访问     
    * anonymous           |   匿名可以访问     
    * denyAll             |   用户不能访问     
    * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)     
    * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问     
    * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问     
    * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问     
    * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问     
    * hasRole             |   如果有参数,参数表示角色,则其角色可以访问     
    * permitAll           |   用户可以任意访问     
    * rememberMe          |   允许通过remember-me登录的用户访问     
    * authenticated       |   用户登录后可访问     */    
    @Override    
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity                // CSRF禁用,因为不使用session            
            .csrf().disable()
                // 认证失败处理类               
                 .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session              
                  .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求               
                 .authorizeRequests()
                // 对于登录login 验证码captchaImage 允许匿名访问              
                  .antMatchers("/login", "/captchaImage").anonymous()
                .antMatchers(
                        HttpMethod.GET,
                        "/*.ttf" ).permitAll().
                        antMatchers(
                        //mybatis复习相关的接口全部放行,同学们可以通过postMan进行测试而不需要进行权限认证                      
                          "/review/**", "/review"                ).permitAll()
                .antMatchers("/common/downloadByMinio**").permitAll()
                .antMatchers("/profile/**").anonymous()
                .antMatchers("/common/download**").anonymous()
                .antMatchers("/common/download/resource**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
                .antMatchers("/druid/**").anonymous()
                // 除上面外的所有请求全部需要鉴权认证             
                   .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter      
          httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter       
         httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    
    /**     * 强散列哈希加密实现     */  
      @Bean   
       public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**     * 身份认证接口     */  
      @Override  
        protected void configure(AuthenticationManagerBuilder auth) throws Exception    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

五、认证流程:

1、SpringSecurity体系中不包含JWT的认证,默认使用session认证,如果需要使用token认证那么需要自行定义token解析用的过滤器,进行token验证,并在配置类中关闭拦截器的session认证,将token拦截器添加到拦截器链中

2、自定义token验证过滤器

1)、通过request进行token解析

2)、若token不存在则表示当前用户未登录,直接放行(后续由其他拦截器进行拦截,在上述配置中有体现)

3)、若token存在则进行token解析,将解析的结果封装成LoginUser(用户登录的实体类含用户权限信息)进行返回,并存储到Redis中

4)、若用户已登录则将用户及其权限信息存入SecurityContextHolder中方便后续的拦截器调用

PS:SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象

//解析token的相关代码
public LoginUser getLoginUser(HttpServletRequest request) {
    // 获取请求携带的令牌    String token = getToken(request);
    if (StringUtils.isNotEmpty(token)) {
        Claims claims = parseToken(token);
        // 解析对应的权限以及用户信息        
        String uuid = (String) claims.get(Constants.LOGIN_USER_KEY);
        String userKey = getTokenKey(uuid);
        LoginUser user = redisCache.getCacheObject(userKey);
        return user;
    }
    return null;
}
@Componentpublic
 class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired    
    private TokenService tokenService;

    @Override    
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        LoginUser loginUser = tokenService.getLoginUser(request);//从redis中获取登录用户的信息
        //若loginUser不为null则表示当前用户已登录 将用户和用户权限信息存入到SecurityContextHolder中,方便后续的取用
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication())) {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }
}

2、若用户未登录,则进入登录接口(Jwt令牌的解析在登录确认前,在上述配置类中已配置)

1)、先清除Redis中的验证码数据,防止数据入侵

2)、验证验证码的正确性

3)、通过authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password))

方法验证账户密码,此方法底层会调用UserDetailsService接口实现类的 loadUserByUsername方法来验证用户名和密码,这个实现类和方法需要自定义。

4)、若上述验证正确,则会返回一个LoginUser对象并存入authentication对象的Principal属性中,再将Principal属性在登录服务中(SysLoginService)进行强转成LoginUser,并以此生成token返回给Controller层,由Controller进行封装返回给前端

5)、至此使用SpringSecurity进行用户的登录验证功能就完成,下次用户进行访问时会走Jwt令牌解析,进行权限的访问等相关验证

@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    SysUser user = userService.selectUserByUserName(username);
    if (StringUtils.isNull(user)) {
        log.info("登录用户:{} 不存在.", username);
        throw new UsernameNotFoundException("登录用户:" + username + " 不存在");
    }
    else if (UserStatus.DELETED.getCode().equals(user.getDelFlag())) {
        log.info("登录用户:{} 已被删除.", username);
        throw new BaseException("对不起,您的账号:" + username + " 已被删除");
    }
    else if (UserStatus.DISABLE.getCode().equals(user.getStatus())) {
        log.info("登录用户:{} 已被停用.", username);
        throw new BaseException("对不起,您的账号:" + username + " 已停用");
    }

    return createLoginUser(user);
}
@Componentpublic 
class SysLoginService {
    @Autowired    
    private TokenService tokenService;//token解析和生成工具类

    @Resource    
    private AuthenticationManager authenticationManager;//SpringSecurity中提供的认证管理器

    @Autowired    
    private RedisCache redisCache;//redis操作工具类

    /**     * 登录验证     *      * @param username 用户名     * @param password 密码     * @param code 验证码     * @param uuid 唯一标识     * @return 结果     */    
    public String login(String username, String password, String code, String uuid) {
        //删除redis中登录用的验证码
        String verifyKey = Constants.CAPTCHA_CODE_KEY + uuid;
        String captcha = redisCache.getCacheObject(verifyKey);
        redisCache.deleteObject(verifyKey);
        //登录错误判断及日志存储
        if (captcha == null)
        {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.expire")));
            throw new CaptchaExpireException();
        }
        if (!code.equalsIgnoreCase(captcha))
        {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.jcaptcha.error")));
            throw new CaptchaException();
        }
        // 用户验证        
        Authentication authentication = null;
        try {
            /**             * !!!看我看我看我!!!            
             * 看我少走弯路,获取用户对象的时候,会去调用下面的这个方法查询用户对象            
              * UserDetailsServiceImpl.loadUserByUsername             */            
              // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername            
              System.out.println("username "+username+" -----password "+password);
            authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
        }catch (Exception e) {
            e.printStackTrace();
            if (e instanceof BadCredentialsException) {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
                throw new UserPasswordNotMatchException();
            }else {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
                throw new CustomException(e.getMessage());
            }
        }
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        // 生成token        
        return tokenService.createToken(loginUser);
    }
}

六、鉴权流程:

上述经过登录验证流程后,进入系统SpringSecurity鉴权流程,其中鉴权的核心是FilterSecurityInterceptor拦截器,搭配@PreAuthorize注解实现接口权限控制

鉴权流程:

在登录验证的过程中,会将用户的信息会存储在缓存和SecurityContextHolder中,在鉴权时即可拿出来,与Controller层中接口的方法上方的注解方法进行比对,若符合则放行,若不符则直接返回提示消息给前端

PS:关于前端模块的显隐也是由SpringSecurity和前端框架结合进行控制,核心jar时Thymeleaf

示例:

@PreAuthorize("@ss.hasPermi('clues:clue:false')")
@Log(title = "上传线索", businessType = BusinessType.UPDATE)
@PutMapping("/false/{id}")
public AjaxResult falseClue(@PathVariable String id, @RequestBody FalseClueDTO falseClueDTO){

其中‘clues:clue:false’代表当前接口访问所需的权限,@ss是自定义的一个鉴权方法,代码如下:

package com.huike.framework.web.service;

import java.util.Set;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import org.springframework.util.CollectionUtils;
import com.huike.common.core.domain.entity.SysRole;
import com.huike.common.core.domain.model.LoginUser;
import com.huike.common.utils.ServletUtils;
import com.huike.common.utils.StringUtils;

/** * 自定义权限实现,ss取自SpringSecurity首字母 * @author wgl */@Service("ss")
public class PermissionService {
    /** 所有权限标识 */   
     private static final String ALL_PERMISSION = "*:*:*";

    /** 管理员角色权限标识 */   
     private static final String SUPER_ADMIN = "admin";

    private static final String ROLE_DELIMETER = ",";

    private static final String PERMISSION_DELIMETER = ",";

    @Autowired   
     private TokenService tokenService;

    /**     * 验证用户是否具备某权限     *      * @param permission 权限字符串     * @return 用户是否具备某权限     */    public boolean hasPermi(String permission) {
        if (StringUtils.isEmpty(permission)) {
            return false;
        }
        LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions())) {
            return false;
        }
        return hasPermissions(loginUser.getPermissions(), permission);
    }

    /**     * 验证用户是否不具备某权限,与 hasPermi逻辑相反     *     
    * @param permission 权限字符串     * @return 用户是否不具备某权限     
    */   
     public boolean lacksPermi(String permission)
    {
        return hasPermi(permission) != true;
    }

    /**     * 验证用户是否具有以下任意一个权限     *    
     * @param permissions 以 PERMISSION_NAMES_DELIMETER 为分隔符的权限列表    
      * @return 用户是否具有以下任意一个权限     */    
     public boolean hasAnyPermi(String permissions)
    {
        if (StringUtils.isEmpty(permissions))
        {
            return false;
        }
        LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getPermissions()))
        {
            return false;
        }
        Set<String> authorities = loginUser.getPermissions();
        for (String permission : permissions.split(PERMISSION_DELIMETER))
        {
            if (permission != null && hasPermissions(authorities, permission))
            {
                return true;
            }
        }
        return false;
    }

    /**     * 判断用户是否拥有某个角色     *      * @param role 角色字符串     * @return 用户是否具备某角色     */    
    public boolean hasRole(String role)
    {
        if (StringUtils.isEmpty(role))
        {
            return false;
        }
        LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
        {
            return false;
        }
        for (SysRole sysRole : loginUser.getUser().getRoles())
        {
            String roleKey = sysRole.getRoleKey();
            if (SUPER_ADMIN.equals(roleKey) || roleKey.equals(StringUtils.trim(role)))
            {
                return true;
            }
        }
        return false;
    }

    /**     * 验证用户是否不具备某角色,与 isRole逻辑相反。     *     * @param role 角色名称     * @return 用户是否不具备某角色     */    
    public boolean lacksRole(String role)
    {
        return hasRole(role) != true;
    }

    /**     * 验证用户是否具有以下任意一个角色     *     * @param roles 以 ROLE_NAMES_DELIMETER 为分隔符的角色列表     * @return 用户是否具有以下任意一个角色     */    
    public boolean hasAnyRoles(String roles)
    {
        if (StringUtils.isEmpty(roles))
        {
            return false;
        }
        LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());
        if (StringUtils.isNull(loginUser) || CollectionUtils.isEmpty(loginUser.getUser().getRoles()))
        {
            return false;
        }
        for (String role : roles.split(ROLE_DELIMETER))
        {
            if (hasRole(role))
            {
                return true;
            }
        }
        return false;
    }

    /**     * 判断是否包含权限     *      * @param permissions 权限列表     * @param permission 权限字符串     * @return 用户是否具备某权限     */    
    private boolean hasPermissions(Set<String> permissions, String permission)
    {
        return permissions.contains(ALL_PERMISSION) || permissions.contains(StringUtils.trim(permission));
    }
}

javaFrom0To100
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2280
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)_springboot的安全框架
最新发布
04-18 388
EnableWebSecurity //@EnableWebSecurity是开启SpringSecurity的默认行为。// 它将认证信息完全交给客户端处理,服务器不再存储用户的认证状态,从而减轻了服务器的负担,并提高了系统的可伸缩性和性能。// 禁用 Session 主要是为了实现基于 Token 的认证机制,提高应用程序的安全性和性能。// 当禁用 Session 后,意味着每个请求都将被视为无状态的,即不再依赖于服务器端的会话状态。* 用于处理基于令牌的身份验证请求。* 配置哪些请求不拦截。
SpringSecurity实现表单SpringSecurity实现表单SpringSecurity实现表单
03-31
主要用于浏览器端的登录鉴权.使用了SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录.比较独特的一点是集合SpringSocial做第三方登录的支持(此处本人测试自用app-id和app-secret,如果需要测试可以帮忙点下星发邮件给我,会尽快给与回复,谢谢支持!).
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4531
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Security、jwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证
spring security使用总结
Koikoi12的博客
08-11 3047
三种配置方法 configure(WebSecurity) 通过重载,配置Spring Security的Filter链 configure(HttpSecurity) 通过重载,配置如何通过拦截器保护请求,用来拦截请求,配置白名单和过滤 configure(AuthenticationManagerBuilder) 通过重载,配置user-detail服务,身份认证接口调用 用户存储方式 基于内存 auth.inMemoryAuthentication() .withUser(“admin”).passw
【用户登录】模块之登录认证+鉴权业务逻辑
林隐的博客
10-28 304
【用户登录】模块之登录认证+鉴权业务逻辑
security登录流程
weixin_48100716的博客
12-15 1110
用户发起登陆请求AdminController,然后调用我们自己的登录业务实现类AdminServiceImpl的登录方法去处理,调用security框架的核心接口方法authenticate开始认证,他会自动去调用我们实现security框架的UserDetailsService接口的登录认证方法,若是认证成功则向前端返回JWT数据,注:AuthenticationManager(接口是认证的核心接口),也是认证的出发点.我们通过security框架认证登录信息,若登陆成功,最终返回的是JWT数据。
学会 OAuth2.0 授权登录,10 张图就够了
竹林幽深
02-10 897
https://mp.weixin.qq.com/s/emMpEaLLU3SyO7_X2JAUHQ
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
浅析Spring Security登录验证流程
08-25
SocialAuthenticationFilter实现社交媒体方式登录认证的处理,Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter实现Oauth2的鉴权方式。 二、结合源码讲解登录验证流程 我们以...
SpringSecurity动态加载用户角色权限实现登录鉴权功能
08-25
Spring Security 动态加载用户角色...通过实现 UserDetails 和 UserDetailsService 接口,我们可以动态加载用户信息,并将其提供给 Spring Security 进行登录验证。这样,我们可以实现更加灵活和可扩展的登录验证机制。
Spring security+jwt服务鉴权完整代码.zip
09-09
本项目"Spring security+jwt服务鉴权完整代码.zip"是基于Spring Security实现的JWT身份验证服务。主要包含了以下关键知识点: 1. **JWT令牌生成与验证**:JWT由三部分组成:头部(Header)、负载(Payload)和签名...
spring security http接口鉴权使用示范项目
03-01
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本项目"spring security http接口鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security来实现HTTP接口...
Spring Security】分布式鉴权的使用
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-23 2576
我们都知道是做认证鉴权的框架,为了一些不必要的麻烦,登录功能都是他们自己做的,那我们就需要将登录的功能交给管理,但是他们做的东西肯定也是不满足于我们的需求,所以我们要在根据他们提供的代码上自定义,可以将自定义的用户信息获取逻辑集成到中,从而实现基于数据库的用户身份认证。再上一篇中我是通过实现接口并重写方法完成的,但是后面我想了想不应该把代码放在层,所以我们需要创建一个类来继承将自定义用户身份认证的代码写入。/*** @author Java方文山。
登录超时提示+踢人下线实现(spring security
zwrlj527的专栏
11-02 3089
spring security用户登录session登录管理真强大,虽然说很重,但是用起来确实方便。现在spring security不像以前了,它也与时俱进,配置早springBoot里做的很友好了你们猜.maximumSessions(2)会先踢哪个?如果要加信息推送知道在那里加了吧?认真看TODO好了,就到这吧,UPing!!
Spring Security判断用户是否已经登录
孙亖的专栏
02-14 5888
方法一、JSP中检查user principal <c:if test="${pageContext.request.userPrincipal.name != null}"> <label> Hi ${pageContext.request.userPrincipal.name} ! Welcome to our...
spring security验证流程
qiuqiuit的专栏
02-13 492
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
<select id="getVOlist" resultType="com.huike.clues.domain.vo.BusinessChangeVO"> select b.create_by as createBy, count(b.id) as num,d.dept_name as deptName from tb_business b,sys_user u,sys_dept d where b.create_by = u.user_name and u.dept_id = d.dept_id <if test="beginCreateTime != null and beginCreateTime != ''"><!-- 开始创建时间 --> and b.create_time BETWEEN #{beginCreateTime} AND #{endCreateTime} </if> order by num DESC limit 10 </select>
06-06
这似乎是一个 MyBatis 的 XML 配置文件中定义的 SQL 查询语句,用于从数据库中获取业务变更记录的视图对象列表。其中,该查询语句会根据业务变更记录的创建人、创建时间和所属部门信息进行关联查询,并按照业务变更记录数目的降序排列,最后只返回前 10 条记录。在 SQL 查询语句中还使用了一个条件判断语句,用于根据指定的开始创建时间和结束创建时间限制查询结果的时间范围。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值