springsecurity详解

 介绍

Spring Security是Spring项目组提供的安全服务框架,核心功能包括认证和授权。 它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。

认证

认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有: 用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。

认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。

授权

授权即认证通过后,根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。 比如在一些视频网站中,普通用户登录后只有观看免费视频的权限,而VIP用户登录后,网站会给该用户提供观看VIP视频的权限。

认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,控制不同的用户能够访问不同的资源。

搭建项目

依赖


      <!-- spring security -->
      <dependency>
          <groupId>org.springframework.boot</groupId>
          <artifactId>spring-boot-starter-security</artifactId>
      </dependency>

认证逻辑

UserDetailsService

在实际项目中,认证逻辑是需要自定义控制的。将UserDetailsService接口的实现类放入Spring容器即可自定义认证逻辑

  public interface UserDetailsService {
                UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
            }

UserDetailsService的实现类必须重写loadUserByUsername方法,该方法定义了具体的认证逻辑,参数username是前端传来的用户名, 我们需要根据传来的用户名查询到该用户(一般是从数据库查询),并将查询到的用户封装成一个UserDetails对象,该对象是 Spring Security提供的用户对象,包含用户名、密码、权限。Spring Security会根据UserDetails对象中的密码和客户端提 供密码进行比较。相同则认证通过,不相同则认证失败

InMemoryUserDetailsManager是UserDetailsService的一个实现类,它将登录页传来的用户名密码和内存中用户名密码做匹配认证。

当然我们也可以自定义UserDetailsService接口的实现类

内存认证

在实际开发中,用户数量不会只有一个,且密码是自己设置的。所以我们需要自定义配置用户信息。

首先我们在内存中创建两个用户,Spring Security会将登录页传来的用户名密码和内存中用户名密码做匹配认证

  // Security配置类
            @Configuration
            public class SecurityConfig {
              // 定义认证逻辑
              @Bean
              public UserDetailsService userDetailsService(){
                // 1.使用内存数据进行认证
                InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
            
           
                // 2.创建两个用户
                UserDetails user1 = User.withUsername("baizhan").password("123").authorities("admin").build();
                UserDetails user2 = User.withUsername("sxt").password("456").authorities("admin").build();
            
            
                // 3.将这两个用户添加到内存中
                manager.createUser(user1);
                manager.createUser(user2);
            
            
                return manager;
               }
            
            
              //密码编码器,不解析密码
              @Bean
              public PasswordEncoder passwordEncoder(){
                return NoOpPasswordEncoder.getInstance();
               }
            }

数据库认证

实体类

 @Data
            public class Users {
              private Integer id;
              private String username;
              private String password;
              private String phone;
            }
@Service
            public class MyUserDetailsService implements UserDetailsService {
              @Autowired
              private UsersMapper usersMapper;
            
            
              // 自定义认证逻辑
              @Override
              public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
                // 1.构造查询条件
                QueryWrapper wrapper = new QueryWrapper().eq("username", username);
                // 2.查询用户
                Users users = usersMapper.selectOne(wrapper);
                // 3.封装为UserDetails对象
                UserDetails userDetails = User
                     .withUsername(users.getUsername())
                     .password(users.getPassword())
                     .authorities("admin")
                     .build();
                // 4.返回封装好的UserDetails对象
                return userDetails;
               }
            }
              
        

数据库认证【包含权限】

 /**
          * 认证授权逻辑
          */
         @Service
         public class MyUserDetailService implements UserDetailsService {
             @Autowired
             private AdminService adminService;
         
         
             @Override
             public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
                 // 1.认证
                 Admin admin = adminService.findByName(username);
                 if (admin == null) {
                     throw new UsernameNotFoundException("用户不存在");
                 }
                 if (!admin.isStatus()) {
                     throw new UsernameNotFoundException("用户不可用");
                 }
         
                 // 2.授权
                 List<Permission> permissions = adminService.findAllPermission(username);
                 List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
                 for (Permission permission : permissions) {
                     grantedAuthorities.add(new SimpleGrantedAuthority(permission.getPermissionDesc()));
                 }
         
         
                 // 3.封装为UserDetails对象
                 UserDetails userDetails = User.withUsername(admin.getUsername())
                         .password(admin.getPassword())
                         .authorities(grantedAuthorities)
                         .build();
         
         
                 // 4.返回封装好的UserDetails对象
                 return userDetails;
             }
         }

认证配置

PasswordEncoder

在实际开发中,为了数据安全性,在数据库中存放密码时不会存放原密码,而是会存放加密后的密码。而用户传入的参数是明文密码。 此时必须使用密码解析器才能将加密密码与明文密码做比对。Spring Security中的密码解析器是PasswordEncoder

NoOpPasswordEncoder是PasswordEncoder的实现类,意思是不解析密码,使用明文密码

 @Bean//密码编码器,不解析密码
            public PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}

Spring Security官方推荐的密码解析器是BCryptPasswordEncoder

在开发中,我们将BCryptPasswordEncoder的实例放入Spring容器即可,并且在用户注册完成后,将密码加密再保存到数据库

 //密码编码器
            @Bean
            public PasswordEncoder passwordEncoder() {
              return new BCryptPasswordEncoder();
            }

测试加密和验证

 @SpringBootTest
            public class PasswordEncoderTest {
              @Test
              public void testBCryptPasswordEncoder(){
                //创建解析器
                PasswordEncoder encoder = new BCryptPasswordEncoder();
            
            
                //密码加密
                String password = encoder.encode("baizhan");
                System.out.println("加密后:"+password);
            
            
                //密码校验
                /**
                 * 参数1:明文密码
                 * 参数2:加密密码
                 * 返回值:是否校验成功
                 */
                boolean result = encoder.matches("baizhan","$2a$10$/MImcrpDO21HAP2amayhme8j2SM0YM50/WO8YBH.NC1hEGGSU9ByO");
                System.out.println(result);
               }
            }

自定义登录页面

 @Configuration
            public class SecurityConfig extends WebSecurityConfigurerAdapter{
              //Spring Security配置
              @Override
              protected void configure(HttpSecurity http) throws Exception {
                // 自定义表单登录
                http.formLogin() 
                   .loginPage("/login.html") // 自定义登录页面
                   .usernameParameter("username") // 表单中的用户名项
                   .passwordParameter("password") // 表单中的密码项
                   .loginProcessingUrl("/login") // 登录路径,表单向该路径提交,提交后自动执行UserDetailsService的方法
                   .successForwardUrl("/main") //登录成功后跳转的路径
                   .failureForwardUrl("/fail"); //登录失败后跳转的路径
            
            
                // 需要认证的资源
                http.authorizeRequests()
                   .antMatchers("/login.html").permitAll() //登录页不需要认证
                   .anyRequest().authenticated(); //其余所有请求都需要认证
            
            
                //关闭csrf防护
                http.csrf().disable();
               }
            
            
              @Override
              public void configure(WebSecurity web) throws Exception {
                // 静态资源放行
                web.ignoring().antMatchers("/css/**");
               }
            }

跨域配置


            //解决跨域
            CorsConfigurationSource configurationSource() {
                List list = new ArrayList();
                list.add("http://127.0.0.1:8020/");
                list.add("http://118.31.60.184:8020/");
                list.add("http://jkw.life:8020/");
                CorsConfiguration corsConfiguration = new CorsConfiguration();
                corsConfiguration.setAllowedHeaders(Collections.singletonList("*"));
                //允许跨域访问的请求方式Arrays.asList("GET","POST")
                corsConfiguration.setAllowedMethods(Collections.singletonList("*"));
                //允许跨域访问的站点Arrays.asList("http://127.0.0.1:5173/")Collections.singletonList("*")
                corsConfiguration.setAllowedOrigins(list);
                // 允许携带凭证
                corsConfiguration.setAllowCredentials(true);
                corsConfiguration.setMaxAge(3600L);
                UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
                //对所有URL生效
                source.registerCorsConfiguration("/**", corsConfiguration);
                return source;
            }
            
            // 开启跨域访问
            http.cors().configurationSource(configurationSource());

CSRF防护

CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。

Spring Security为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。 我们要想正常使用Spring Security需要突破CSRF防护。

解决方法一:关闭CSRF防护:

  http.csrf().disable();

解决方法二:突破CSRF防护:

CSRF为了保证不是其他第三方网站访问,要求访问时携带参数名为_csrf值为令牌,令牌在服务端产生,、 如果携带的令牌和服务端的令牌匹配成功,则正常访问。

   <form class="form" action="/login" method="post">
            <!-- 在表单中添加令牌隐藏域 -->
             <input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}"/>
             <input type="text" placeholder="用户名" name="username">
             <input type="password" placeholder="密码" name="password">
             <button type="submit">登录</button>
             </form> 
        

退出登录


          // 退出登录配置
          http.logout()
             .logoutUrl("/logout") // 退出登录路径
             .logoutSuccessUrl("/login.html") // 退出登录后跳转的路径
             .clearAuthentication(true) //清除认证状态,默认为true
             .invalidateHttpSession(true); // 销毁HttpSession对象,默认为true

Remember Me

Spring Security中Remember Me为“记住我”功能,即下次访问系统时无需重新登录。当使用“记住我”功能登录后, Spring Security会生成一个令牌,令牌一方面保存到数据库中,另一方面生成一个叫remember-me的Cookie保存到 客户端。之后客户端访问项目时自动携带令牌,不登录即可完成认证

编写“记住我”配置类

  @Configuration
          public class RememberMeConfig {
            @Autowired
            private DataSource dataSource;         
            // 令牌Repository
            @Bean
            public PersistentTokenRepository getPersistentTokenRepository() {
              // 为Spring Security自带的令牌控制器设置数据源
              JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl = new JdbcTokenRepositoryImpl();
              jdbcTokenRepositoryImpl.setDataSource(dataSource);
              //自动建表,第一次启动时需要,第二次启动时注释掉
              //     jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
                 return jdbcTokenRepositoryImpl;
                 }
          }

修改Security配置类

 // 记住我配置
          http.rememberMe()
               .userDetailsService(userDetailsService)//登录逻辑交给哪个对象
               .tokenRepository(repository) //持久层对象
               .tokenValiditySeconds(30); //保存时间,单位:秒

在登录页面添加“记住我”复选框

   name的值为remember-me
          <input type="checkbox" name="remember-me" value="true"/>记住我</br>  

处理器

会话管理

用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显示:欢迎您,XXX。 Spring Security将用户信息保存在会话中,并提供会话管理。

获取用户信息的写法如下

   @RestController
            public class MyController {
              // 获取当前登录用户名
              @RequestMapping("/users/username")
              public String getUsername(){
                // 1.获取会话对象
                SecurityContext context = SecurityContextHolder.getContext();
                // 2.获取认证对象
                Authentication authentication = context.getAuthentication();
                // 3.获取登录用户信息
                UserDetails userDetails = (UserDetails) authentication.getPrincipal();
                return userDetails.getUsername();
               }
            }            
        

登录成功处理器

  /**
            * 登录成功处理器
            */
           public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {
               @Override
               public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                   response.setContentType("text/json;charset=utf-8");
                   UserDetails userDetails = (UserDetails) authentication.getPrincipal();
           
                   BaseResult result = new BaseResult(200, "登录成功", userDetails);
                   response.getWriter().write(JSON.toJSONString(result));
               }
           }

配置登录成功处理器【替换登录成功跳转的页面】

    http.formLogin()
                    ......
                    .successHandler(new MyLoginSuccessHandler()) // 登录成功处理器
        

登录失败处理器

/**
            * 登录失败处理器
            */
           public class MyLoginFailureHandler implements AuthenticationFailureHandler {
               @Override
               public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
                   response.setContentType("text/json;charset=utf-8");
                   BaseResult result = new BaseResult(402, "用户名或密码错误", null);
                   response.getWriter().write(JSON.toJSONString(result));
               }
           }

配置登录失败处理器【替换登录失败跳转的页面】

     http.formLogin()
                    ......
                    .failureHandler(new MyLoginFailureHandler()); // 登录失败处理器
           

退出成功处理器


            /**
            * 退出登录成功成功处理器
            */
           public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
               @Override
               public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                   response.setContentType("text/json;charset=utf-8");
                   BaseResult result = new BaseResult(200, "注销成功", null);
                   response.getWriter().write(JSON.toJSONString(result));
               }
           }

配置退出成功处理器

   // 退出登录配置
           http.logout()
                   .logoutUrl("/sys/logout") // 退出登录路径
                   .logoutSuccessHandler(new MyLogoutSuccessHandler()) // 登出成功处理器
                   .clearAuthentication(true) // 清除认证数据
                   .invalidateHttpSession(true); // 清除session

异常处理器【未登录/权限不足】

   /**
          * 未登录处理器
          */
         public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
             @Override
             public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
                 response.setContentType("text/json;charset=utf-8");
                 BaseResult result = new BaseResult(401, "用户未登录,请登录", null);
                 response.getWriter().write(JSON.toJSONString(result));
             }
         }
         
         /**
         * 权限不足处理器
         */
        public class MyAccessDeniedHandler implements AccessDeniedHandler {
            @Override
            public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
                response.setContentType("text/json;charset=utf-8");
                BaseResult result = new BaseResult(403, "权限不足", null);
                response.getWriter().write(JSON.toJSONString(result));
            }
        }

配置类中配置

    // 异常处理
        http.exceptionHandling()
                .authenticationEntryPoint(new MyAuthenticationEntryPoint()) // 未登录处理器
                .accessDeniedHandler(new MyAccessDeniedHandler()); // 权限不足处理器
        

授权

RBAC

RBAC是业界普遍采用的授权方式,它有两种解释:

Role-Based Access Control:基于角色的访问控制,即按角色进行授权

Resource-Based Access Control:基于资源的访问控制,即按资源(或权限)进行授权。

权限表设计

数据库

DROP TABLE IF EXISTS `admin`;
CREATE TABLE `admin` (
  `aid` int(32) NOT NULL AUTO_INCREMENT,
  `email` varchar(50) DEFAULT NULL,
  `username` varchar(50) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  `phoneNum` varchar(20) DEFAULT NULL,
  `status` tinyint(1) DEFAULT NULL,
  `adminImg` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`aid`),
  UNIQUE KEY `email` (`email`)
) ENGINE=InnoDB AUTO_INCREMENT=9 DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `admin_role`;
CREATE TABLE `admin_role` (
  `aid` varchar(32) NOT NULL,
  `rid` varchar(32) NOT NULL,
  PRIMARY KEY (`aid`,`rid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `permission`;
CREATE TABLE `permission` (
  `pid` int(32) NOT NULL AUTO_INCREMENT,
  `permissionName` varchar(50) DEFAULT NULL,
  `permissionDesc` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`pid`)
) ENGINE=InnoDB AUTO_INCREMENT=22 DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `role`;
CREATE TABLE `role` (
  `rid` int(32) NOT NULL AUTO_INCREMENT,
  `roleName` varchar(50) DEFAULT NULL,
  `roleDesc` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`rid`)
) ENGINE=InnoDB AUTO_INCREMENT=12 DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `role_permission`;
CREATE TABLE `role_permission` (
  `rid` varchar(32) DEFAULT NULL,
  `pid` varchar(32) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

java中权限的编写

实体类

/**
 * 用户
 */
@Data
public class Admin implements Serializable {
    @TableId
    private Integer aid;
    private String username;//姓名
    private String password;//密码
    private String phoneNum;//手机号

    private String email;//邮箱

    private String adminImg;//头像

    private boolean status; // 状态 true可用 false禁用
    @TableField(exist = false) // 不是数据库的字段
    private List<Role> roles; // 角色集合
}
/**
 * 权限
 */
@Data
public class Permission implements Serializable {
    @TableId
    private Integer pid;
    private String permissionName; //权限名
    private String permissionDesc;//权限详情
}
/**
 * 角色
 */
@Data
public class Role implements Serializable {
    @TableId
    private Integer rid;
    private String roleName; // 角色名
    private String roleDesc; // 角色介绍
    @TableField(exist = false) // 不是数据库的字段
    private List<Permission> permissions;// 权限集合
}

mapper

public interface AdminMapper extends BaseMapper<Admin> {
    // 根据id查询管理员,包括角色和权限
    Admin findById(Integer id);
    // 删除管理员的所有角色
    void deleteAdminAllRole(Integer id);
    // 给管理员添加角色
    void addRoleToAdmin(@Param("aid") Integer aid, @Param("rid") Integer rid);
    // 根据管理员名查询权限
    List<Permission> findAllPermission(String username);
}
public interface PermissionMapper extends BaseMapper<Permission> {
    // 删除角色_权限表中的相关数据
    void deletePermissionAllRole(Integer pid);
}
public interface RoleMapper extends BaseMapper<Role> {
    // 删除角色_权限中间表的相关数据
    void deleteRoleAllPermission(Integer rid);
    // 删除用户_角色表的相关数据
    void deleteRoleAllAdmin(Integer rid);
    // 根据id查询角色,包括权限
    Role findById(Integer id);
    // 给角色添加权限
    void addPermissionToRole(@Param("rid") Integer rid, @Param("pid")Integer pid);
}

mapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="jkw.mapper.AdminMapper">
    <resultMap id="adminMapper" type="jkw.pojo.Admin">
        <id property="aid" column="aid"></id>
        <result property="username" column="username"></result>
        <result property="email" column="email"></result>
        <result property="phoneNum" column="phoneNum"></result>
        <result property="status" column="status"></result>
        <result property="adminImg" column="adminImg"></result>
        <collection property="roles" column="aid" ofType="jkw.pojo.Role">
            <id property="rid" column="rid"></id>
            <result property="roleName" column="roleName"></result>
            <result property="roleDesc" column="roleDesc"></result>
            <collection property="permissions" column="rid" ofType="jkw.pojo.Permission">
                <id property="pid" column="pid"></id>
                <result property="permissionName" column="permissionName"></result>
                <result property="permissionDesc" column="permissionDesc"></result>
            </collection>
        </collection>
    </resultMap>

    <delete id="deleteAdminAllRole" parameterType="int">
        DELETE
        FROM admin_role
        WHERE aid = #{id}
    </delete>
    <select id="findById" parameterType="int" resultMap="adminMapper">
        SELECT *
        FROM admin
                 LEFT JOIN admin_role
                           ON admin.aid = admin_role.aid
                 LEFT JOIN role
                           ON admin_role.rid = role.rid
                 LEFT JOIN role_permission
                           ON role.rid = role_permission.rid
                 LEFT JOIN permission
                           ON role_permission.pid = permission.pid
        WHERE admin.aid = #{id}
    </select>
    <insert id="addRoleToAdmin">
        INSERT INTO admin_role
        VALUES (#{aid}, #{rid});
    </insert>
    <select id="findAllPermission" resultType="jkw.pojo.Permission" parameterType="string">
        SELECT DISTINCT permission.*
        FROM admin
                 LEFT JOIN admin_role
                           ON admin.aid = admin_role.aid
                 LEFT JOIN role
                           ON admin_role.rid = role.rid
                 LEFT JOIN role_permission
                           ON role.rid = role_permission.rid
                 LEFT JOIN permission
                           ON role_permission.pid = permission.pid
        WHERE admin.username = #{username}
    </select>

</mapper>
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="jkw.mapper.PermissionMapper">
    <delete id="deletePermissionAllRole" parameterType="int">
        DELETE
        FROM role_permission
        WHERE pid = #{pid}
    </delete>
</mapper>
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="jkw.mapper.RoleMapper">
    <resultMap id="roleMapper" type="jkw.pojo.Role">
        <id property="rid" column="rid"></id>
        <result property="roleName" column="roleName"></result>
        <result property="roleDesc" column="roleDesc"></result>
        <collection property="permissions" column="rid" ofType="jkw.pojo.Permission">
            <id property="pid" column="pid"></id>
            <result property="permissionName" column="permissionName"></result>
            <result property="permissionDesc" column="permissionDesc"></result>
        </collection>
    </resultMap>
    <delete id="deleteRoleAllPermission" parameterType="int">
        DELETE
        FROM role_permission
        WHERE rid = #{rid}
    </delete>

    <delete id="deleteRoleAllAdmin" parameterType="int">
        DELETE
        FROM admin_role
        where rid = #{rid}
    </delete>
    <select id="findById" parameterType="int" resultMap="roleMapper">
        SELECT *
        FROM role
                 LEFT JOIN role_permission
                           ON role.rid = role_permission.rid
                 LEFT JOIN permission
                           ON role_permission.pid = permission.pid
        WHERE role.rid = #{id}
    </select>
    <insert id="addPermissionToRole">
        INSERT INTO role_permission
        VALUES (#{rid}, #{pid});
    </insert>
</mapper>

service

public interface AdminService {
    // 新增管理员
    void add(Admin admin);
    // 修改管理员
    void update(Admin admin);
    // 删除管理员【自定义】
    void delete(Integer id);
    //修改状态
    void updateStatus(Integer id);
    // 根据id查询管理员(查询用户详情)【自定义】
    Admin findById(Integer id);
    //分页查询管理员
    Page<Admin> search(int page, int size);
    // 修改管理员角色【自定义】
    void updateRoleToAdmin(Integer aid, Integer[] rids);
    // 根据名字查询管理员
    Admin findByName(String username);
    // 根据名字查询管理员所有权限
    List<Permission> findAllPermission(String username);
}
/**
 * 权限服务接口
 */
public interface PermissionService {
    // 新增权限
    void add(Permission permission);
    // 修改权限
    void update(Permission permission);
    // 删除权限【自定义】
    void delete(Integer id);
    // 根据id查询权限
    Permission findById(Integer id);
    // 查询所有权限
    List<Permission> findAll();
    // 分页查询权限
    Page<Permission> search(int page, int size);
}
/**
 * 角色服务接口
 */
public interface RoleService {
    // 新增角色
    void add(Role role);
    // 修改角色
    void update(Role role);
    // 删除角色
    void delete(Integer id);
    // 根据id查询角色【自定义】
    Role findById(Integer id);
    // 查询所有角色
    List<Role> findAll();
    // 分页查询角色
    Page<Role> search(int page, int size);
    // 修改角色的权限【自定义】
    void addPermissionToRole(Integer rid, Integer[] pids);
}

serviceImpl

@Service
@Transactional
public class AdminServiceImpl implements AdminService {
    @Autowired
    private AdminMapper adminMapper;

    @Override
    public void add(Admin admin) {
        adminMapper.insert(admin);
        //初始化用户,不然添加后什么角色都没有,会报错
        adminMapper.addRoleToAdmin(admin.getAid(), 2);
    }

    @Override
    public void update(Admin admin) {
        // 如果前端传来空密码,则密码还是原来的密码
        if (!StringUtils.hasText(admin.getPassword())) {
            // 查询原来的密码
            String password = adminMapper.selectById(admin.getAid()).getPassword();
            admin.setPassword(password);
        }
        adminMapper.updateById(admin);
    }

    @Override
    public void delete(Integer id) {
        // 删除用户的所有角色
        adminMapper.deleteAdminAllRole(id);
        // 删除用户
        adminMapper.deleteById(id);
    }

    @Override
    public void updateStatus(Integer id) {
        Admin admin = adminMapper.selectById(id);
        admin.setStatus(!admin.isStatus());//状态取反
        adminMapper.updateById(admin);
    }

    @Override
    public Admin findById(Integer id) {
        return adminMapper.findById(id);
    }

    @Override
    public Page<Admin> search(int page, int size) {
        return adminMapper.selectPage(new Page<>(page, size), null);
    }

    @Override
    public void updateRoleToAdmin(Integer aid, Integer[] rids) {
        // 删除用户的所有角色
        adminMapper.deleteAdminAllRole(aid);
        // 重新添加管理员角色
        for (Integer rid : rids) {
            adminMapper.addRoleToAdmin(aid, rid);
        }
    }

    @Override
    public Admin findByName(String username) {
        QueryWrapper<Admin> wrapper = new QueryWrapper();
        wrapper.eq("username", username);
        Admin admin = adminMapper.selectOne(wrapper);
        return admin;
    }

    @Override
    public List<Permission> findAllPermission(String username) {
        return adminMapper.findAllPermission(username);
    }
}
@Transactional
@Service
public class PermissionServiceImpl implements PermissionService {
    @Autowired
    private PermissionMapper permissionMapper;
    @Override
    public void add(Permission permission) {
        permissionMapper.insert(permission);
    }

    @Override
    public void update(Permission permission) {
        permissionMapper.updateById(permission);
    }

    @Override
    public void delete(Integer id) {
        // 删除权限
        permissionMapper.deleteById(id);
        // 删除角色_权限表中的相关数据
        permissionMapper.deletePermissionAllRole(id);
    }

    @Override
    public Permission findById(Integer id) {
        return permissionMapper.selectById(id);
    }

    @Override
    public List<Permission> findAll() {
        return permissionMapper.selectList(null);
    }

    @Override
    public Page<Permission> search(int page, int size) {
        return permissionMapper.selectPage(new Page(page,size),null);
    }
}
@Service
@Transactional
public class RoleServiceImpl implements RoleService {
    @Autowired
    private RoleMapper roleMapper;
    @Override
    public void add(Role role) {
        roleMapper.insert(role);
    }

    @Override
    public void update(Role role) {
        roleMapper.updateById(role);
    }

    @Override
    public void delete(Integer id) {
        // 删除角色
        roleMapper.deleteById(id);
        // 删除角色_权限中间表的相关数据
        roleMapper.deleteRoleAllPermission(id);
        // 删除用户_角色中间表的相关数据
        roleMapper.deleteRoleAllAdmin(id);
    }

    @Override
    public Role findById(Integer id) {
        return roleMapper.findById(id);
    }

    @Override
    public List<Role> findAll() {
        return roleMapper.selectList(null);
    }

    @Override
    public Page<Role> search(int page, int size) {
        return roleMapper.selectPage(new Page(page,size),null);
    }

    @Override
    public void addPermissionToRole(Integer rid, Integer[] pids) {
        // 删除角色的所有权限
        roleMapper.deleteRoleAllPermission(rid);
        // 给角色添加权限
        for (Integer pid : pids) {
            roleMapper.addPermissionToRole(rid,pid);
        }
    }
}

controller

@RestController
@RequestMapping("/sys/admin")
@CrossOrigin
public class AdminController {
    @Autowired
    private AdminService adminService;
    @Autowired
    private PasswordEncoder encoder;

    /**
     * 新增管理员
     *
     * @param admin 管理员
     * @return
     */
    @PostMapping("/add")
    public BaseResult add(Admin admin) {
        String password = admin.getPassword();
        password = encoder.encode(password);
        admin.setPassword(password);
        adminService.add(admin);
        return BaseResult.ok();
    }

    /**
     * 修改管理员(设置空密码则还是原来密码)
     *
     * @param admin 管理员
     * @return
     */
    @PostMapping("/update")
    public BaseResult update(Admin admin) {
        String password = admin.getPassword();
        if (StringUtils.hasText(password)) { // 密码不为空加密
            password = encoder.encode(password);
            admin.setPassword(password);
        }
        adminService.update(admin);
        return BaseResult.ok();
    }

    /**
     * 删除管理员(附带对应的角色)
     *
     * @param aid 管理员id
     * @return
     */
    @DeleteMapping("/delete")
    public BaseResult delete(Integer aid) {
        adminService.delete(aid);
        return BaseResult.ok();
    }

    /**
     * 修改管理员的状态
     *
     * @param aid 管理员id
     * @return
     */
    @PostMapping("/updateStatus")
    public BaseResult updateStatus(Integer aid) {
        adminService.updateStatus(aid);
        return BaseResult.ok();
    }

    /**
     * 根据id查询管理员(详情)
     *
     * @param aid 管理员id
     * @return
     */
    @GetMapping("/findById")
    public BaseResult<Admin> findById(Integer aid) {
        Admin admin = adminService.findById(aid);
        return BaseResult.ok(admin);
    }

    /**
     * 分页查询管理员
     *
     * @param page 当前页
     * @param size 每页条数
     * @return
     */
    @PreAuthorize("hasAnyAuthority('/sys/admin')")
    @GetMapping("/search")
    public BaseResult<Page<Admin>> search(int page, int size) {
        Page<Admin> adminPage = adminService.search(page, size);
        return BaseResult.ok(adminPage);
    }

    /**
     * 修改管理员角色
     *
     * @param aid  管理员id
     * @param rids 角色id
     * @return
     */
    @PostMapping("/updateRoleToAdmin")
    public BaseResult updateRoleToAdmin(Integer aid, Integer[] rids) {
        adminService.updateRoleToAdmin(aid, rids);
        return BaseResult.ok();
    }

    /**
     * 获取登录管理员名
     *
     * @return 管理员名
     */
    @GetMapping("/getUsername")
    public BaseResult<String> getUsername() {
        // 1.获取会话对象
        SecurityContext context = SecurityContextHolder.getContext();
        // 2.获取认证对象
        Authentication authentication = context.getAuthentication();
        // 3.获取登录用户信息
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        String username = userDetails.getUsername();
        return BaseResult.ok(username);
    }
    @GetMapping("/findByUsername")
    public BaseResult findByUsername(String username){
        Admin admin = adminService.findByName(username);
        return BaseResult.ok(admin);
    }
}
@RestController
@RequestMapping("/sys/permission")
@CrossOrigin
public class PermissionController {
    @Autowired
    private PermissionService permissionService;

    /**
     * 新增权限
     *
     * @param permission 权限对象
     * @return 执行结果
     */
    @PostMapping("/add")
    public BaseResult add(Permission permission) {
        permissionService.add(permission);
        return BaseResult.ok();
    }


    /**
     * 修改权限
     *
     * @param permission 权限对象
     * @return 执行结果
     */
    @PostMapping("/update")
    public BaseResult update(Permission permission) {
        permissionService.update(permission);
        return BaseResult.ok();
    }


    /**
     * 删除权限(包括中间表对应的角色)
     *
     * @param pid 权限id
     * @return 执行结果
     */
    @DeleteMapping("/delete")
    public BaseResult delete(Integer pid) {
        permissionService.delete(pid);
        return BaseResult.ok();
    }


    /**
     * 根据id查询权限
     *
     * @param pid 权限id
     * @return 查询结果
     */
    @GetMapping("/findById")
    public BaseResult<Permission> findById(Integer pid) {
        Permission permission = permissionService.findById(pid);
        return BaseResult.ok(permission);
    }

    /**
     * 查询所有权限
     *
     * @return 所有权限
     */
    @GetMapping("/findAll")
    public BaseResult<List<Permission>> findAll() {
        List<Permission> all = permissionService.findAll();
        return BaseResult.ok(all);
    }

    /**
     * 分页查询权限
     *
     * @param page 页面
     * @param size 每页条数
     * @return 查询结果
     */
    @PreAuthorize("hasAnyAuthority('/sys/permission')")
    @GetMapping("/search")
    public BaseResult<Page<Permission>> search(int page, int size) {
        Page<Permission> permissionPage = permissionService.search(page, size);
        return BaseResult.ok(permissionPage);
    }


}
@RestController
@RequestMapping("/sys/role")
@CrossOrigin
public class RoleController {
    @Autowired
    private RoleService roleService;

    /**
     * 新增角色
     *
     * @param role 角色对象
     * @return 执行结果
     */
    @PostMapping("/add")
    public BaseResult add(Role role) {
        roleService.add(role);
        return BaseResult.ok();
    }


    /**
     * 修改角色
     *
     * @param role 角色对象
     * @return 执行结c果
     */
    @PostMapping("/update")
    public BaseResult update(Role role) {
        roleService.update(role);
        return BaseResult.ok();
    }


    /**
     * 删除角色(包括中间表的管理员、权限)
     *
     * @param rid 角色id
     * @return 执行结果
     */
    @DeleteMapping("/delete")
    public BaseResult delete(Integer rid) {
        roleService.delete(rid);
        return BaseResult.ok();
    }


    /**
     * 根据id查询角色
     *
     * @param rid
     * @return 查询到的角色
     */
    @GetMapping("/findById")
    public BaseResult<Role> findById(Integer rid) {
        Role role = roleService.findById(rid);
        return BaseResult.ok(role);
    }

    /**
     * 查询所有角色
     *
     * @return 查询结果
     */
    @GetMapping("/findAll")
    public BaseResult<List<Role>> findAll() {
        List<Role> all = roleService.findAll();
        return BaseResult.ok(all);
    }

    /**
     * 分页查询角色
     *
     * @param page 页码
     * @param size 每页条数
     * @return 查询结果
     */
    @PreAuthorize("hasAnyAuthority('/sys/role')")
    @GetMapping("/search")
    public BaseResult<Page<Role>> search(int page, int size) {
        Page<Role> page1 = roleService.search(page, size);
        return BaseResult.ok(page1);
    }


    /**
     * 修改角色的权限
     *
     * @param rid  角色id
     * @param pids 权限id
     * @return 执行结果
     */
    @PostMapping("/updatePermissionToRole")
    public BaseResult updatePermissionToRole(Integer rid, Integer[] pids) {
        roleService.addPermissionToRole(rid, pids);
        return BaseResult.ok();
    }
}

配置类设置访问控制

   // 权限拦截配置
            http.authorizeRequests()
                 .antMatchers("/login.html").permitAll() // 表示任何权限都可以访问
                 .antMatchers("/reportform/find").hasAnyAuthority("/reportform/find") // 给资源配置需要的权限
                 .antMatchers("/salary/find").hasAnyAuthority("/salary/find")
                 .antMatchers("/staff/find").hasAnyAuthority("/staff/find")
                 .anyRequest().authenticated(); //表示任何请求都需要认证后才能访问             

自定义设置访问控制

如果资源数量很多,一条条配置需要的权限效率较低。我们可以自定义访问控制逻辑,即访问资源时判断用户是否具有名为该资源URL的权限

自定义访问控制逻辑

   @Service
            public class MyAuthorizationService {
              // 自定义访问控制逻辑,返回值为是否可以访问资源
              public boolean hasPermission(HttpServletRequest request, Authentication authentication){
                // 获取会话中的登录用户
                Object principal = authentication.getPrincipal();
                if (principal instanceof UserDetails){
                  // 获取登录用户的权限
                  Collection authorities = ((UserDetails) principal).getAuthorities();
                  // 获取请求的URL路径
                  String uri = request.getRequestURI();
                  // 将URL路径封装为权限对象
                  SimpleGrantedAuthority authority = new SimpleGrantedAuthority(uri);
                  // 判断用户的权限集合是否包含请求的URL权限对象
                  return authorities.contains(authority);
                 }
                return false;
               }
            }

在配置文件中使用自定义访问控制逻辑

    // 权限拦截配置
            http.authorizeRequests()
                     .antMatchers("/login.html").permitAll() // 表示任何权限都可以访问
                    // 任何请求都使用自定义访问控制逻辑
                     .anyRequest().access("@myAuthorizationService.hasPermission(request,authentication)");

注解设置访问控制-基于角色

@Secured:该注解是基于角色的权限控制,要求UserDetails中的权限名必须以ROLE_开头。

在配置类开启注解使用 @EnableGlobalMethodSecurity(securedEnabled=true)

在控制器方法上添加注解 @Secured("ROLE_reportform")

注解设置访问控制-基于资源

@PreAuthorize:该注解可以在方法执行前判断用户是否具有权限

在配置类开启注解使用 @EnableGlobalMethodSecurity(prePostEnabled = true)

在控制器方法上添加注解 @PreAuthorize("hasAnyAuthority('/reportform/find')")

前端设置访问控制

SpringSecurity可以在一些视图技术中进行控制显示效果。例如Thymeleaf中,只有登录用户拥有某些权限才会展示一些菜单

在pom中引入Spring Security和Thymeleaf的整合依赖

 <!--Spring Security整合Thymeleaf-->
             <dependency>
                 <groupId>org.thymeleaf.extras</groupId>
                 <artifactId>thymeleaf-extras-springsecurity5</artifactId>
             </dependency>

在Thymeleaf中使用Security标签,控制前端的显示内容

   <html xmlns:th="http://www.thymeleaf.org"
              xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
              <li sec:authorize="hasAnyAuthority('/reportform/find')"><a href="/reportform/find">查询报表</a></li>
              <li sec:authorize="hasAnyAuthority('/salary/find')"><a href="/salary/find">查询工资</a></li>
              <li sec:authorize="hasAnyAuthority('/staff/find')"><a href="/staff/find">查询员工</a></li>
  
          

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

月木@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值