①目标分析
目标一:实现SpringSecurity入门小Demo。
目标二:完成运营商登陆与安全控制功能。
目标三:完成商家入驻。(业务上的东西)
目标四:完成商家审核。(业务上的东西)
目标五:完成商家系统登陆与安全控制功能。
②SpringSecurity简介。
SpringSecurity是一个安全框架,解决的是一个安全的问题。
http://localhost:9101/login.html进入登陆界面,然后输入用户名和密码,点击登录按钮,可进入主页面:
地址栏是跳转到:http://localhost:9101/admin/index.html,不是直接手动在地址栏输入的。
但是这样做真的安全吗?不通过系统登录,也可以进入主页面。
直接在地址栏输入:http://localhost:9101/admin/index.html也是可以进入主页面的。
如何控制用户在不登录的情况下,不能进入主界面?
如果不引入SpringSecurity框架,就在每一个页面做一个判断,增加判断当前用户是否登录代码。这样就意味着在每一个页面都要加这种控制代码。这样一来就不是很方便了。
如果用到SpringSecurity框架,我们就可以去定制每一个页面的访问规则。这个页面的访问规则可以细致到什么程度呢?
SpringSecurity框架引入了角色的概念,角色有哪些:如有:管理员、高级管理员和客服等。
可以规定管理员有哪些页面的访问权限,高级管理员又有哪些页面的管理权限以及客服有哪些页面的管理权限等。
安全框架有很多种,SpringSecurity只是其中一种。
③SpringSecurity安全框架入门小Demo-最简单案例
一、创建工程spring-security-demo。
二、在pom.xml文件中引入依赖。主要有两方面的依赖:Spring框架相关的依赖和SpringSecurity框架相关的依赖。
<properties>
<spring.version>4.2.4.RELEASE</spring.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-jdbc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<!-- java编译插件 -->
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.2</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
<encoding>UTF-8</encoding>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9090</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
将上面的内容复制到pom.xml文件中:pom.xml文件的内容为:
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>cn.itcast.demo</groupId>
<artifactId>spring-security-demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>war</packaging>
<properties>
<spring.version>4.2.4.RELEASE</spring.version>
</properties>
<dependencies>
<!-- Spring框架相关依赖 -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context-support</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-jdbc</artifactId>
<version>${spring.version}</version>
</dependency>
<!-- Spring框架相关依赖 -->
<!-- SpringSecurity框架相关依赖 -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
<!-- SpringSecurity框架相关依赖 -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<!-- java编译插件 -->
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.2</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
<encoding>UTF-8</encoding>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9090</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
三、因为打包方式是war,说明是web工程,需要WEB-INF文件夹和里面的web.xml文件。
web.xml文件的内容是:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载-->
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:springmvc-servlet.xml</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>*.do</url-pattern>
</servlet-mapping>
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
四、创建index.html主页面文件。
五、创建Spring框架的配置文件:spring-security.xml文件。不一定非要叫spring-security.xml,看web.xml文件里面的设置,设置成什么名称就是什么名称。
复制粘贴一下文件到项目:
有一个spring-security.xml文件的壳子。
这个壳子和之前的Spring框架的配置文件有不同,看看之前的Spring框架的配置文件:
以上工程中Spring框架的配置文件名称叫:springmvc.xml(可以不是这个名称,可以随意取,但必须和web.xml中设置的名称相对应),内容为:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo" xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">
<context:property-placeholder location="classpath:config/application.properties" />
<mvc:annotation-driven>
<mvc:message-converters register-defaults="true">
<bean class="com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter">
<property name="supportedMediaTypes" value="application/json"/>
<property name="features">
<array>
<value>WriteMapNullValue</value>
<value>WriteDateUseDateFormat</value>
</array>
</property>
</bean>
</mvc:message-converters>
</mvc:annotation-driven>
<!-- 引用dubbo 服务 -->
<dubbo:application name="pinyougou-shop-web" />
<dubbo:registry address="zookeeper://192.168.25.133:2181"/>
<dubbo:annotation package="com.pinyougou.shop.controller" />
</beans>
<beans></beans>且这个beans没有前缀,因为beans是默认的。而且只能有一个是默认的。
xmlns="http://www.springframework.org/schema/beans"说明beans是默认的。不用加前缀。
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo" xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">
中的
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo" xmlns:mvc="http://www.springframework.org/schema/mvc"
说明:xsi、context、dubbo和mvc是要带前缀的。
<mvc:annotation-driven></mvc:annotation-driven>
<dubbo:application name="pinyougou-shop-web" />
<context:......></context: .......>
<xsi:........></xsi:........>
但是SpringSecurity框架的Spring配置文件:
<beans:beans></beans:beans>
这个beans的前缀是:beans:
现在<beans></beans>就不是默认的了。要定义beans就要加一个前缀beans:
如果要定义一个bean,就要<beans:bean></beans:bean>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
</beans:beans>
xmlns="http://www.springframework.org/schema/security"说明默认的是security,而不是beans。security前缀对应的内容就不用加security:前缀了。
xmlns:beans="http://www.springframework.org/schema/beans" 说明在定义beans的时候前缀是beans
在使用security配置的时候就不用带前缀了。因为在这个SpringSecurity框架的配置文件中,使用security配置的内容相当多,如果每一个都有security:前缀,写起来就很繁琐。而且配置bean的时候会比较少一点,所以才如此配置前缀默认值为security:而不是beans:。即让security不带前缀,而beans带前缀。
spring-security.xml文件的内容为:
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 配置页面的拦截规则 use-expressions的意思是:是否启动(启用)SPEL表达式 ,默认是true-->
<!-- 如果use-expressions为默认值,即use-expressions="true",则access就不能写成:access="ROLE_USER"
而应该写成:access="hasRole('ROLE_USER')"。因为access还可以匹配IP地址,所以SPEL表达式还是有用的。但这里只用到角色
所以use-expressions="false"-->
<http use-expressions="false">
<!-- /*不包含目录下的所有子目录,只包含根目录等级的资源。与 web.xml中的/*不一样,web.xml中的/*包含子目录下资源。-->
<!-- /**包含根目录等级的资源和包含子目录下所有资源 -->
<!-- access是定义角色名称的,规定ROLE_开头,如:ROLE_manager、ROLE_CUSTOM......ROLE_随便取名字否则报错 -->
<!-- 这句话的意思是:当前用户必须有ROLE_USER的角色,才可以访问根目录及所属子目录的资源(包括html文件和图片文件和js文件等) -->
<intercept-url pattern="/**" access="ROLE_USER"/>
<!-- 开启表单登录功能 -->
<form-login/>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<!-- 认证提供者 -->
<authentication-provider>
<user-service>
<!-- 配置当前系统的用户 ,用户名称为admin,密码为123456,authorities就是这个用户属于哪一个或者哪一些角色。-->
<user name="admin" password="123456" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
测试:先强制maven update一下,然后Run As ,build,tomcat7:run
http://localhost:9090/login
这个页面是<form-login/>生成的。
http://localhost:9090/index.html直接进入index页面,不让进。
输入正确的用户名和密码,第一次还是会返回错误,要将ico文件拷贝进根目录。
第一次访问,输入正确用户名和密码,不会出现404错误。