认证三部曲
1.需要认证的类实现 userdetail接口该接口实现五个方法
最重要的方法是角色的集合次角色集合一般再认证用户时set进去
2.自定义userservice实现接口userservicedetail 该接口实现一个方法
loaderuserxx方法
这个方法中传入一个username,然后返回一个user对象也就是需要认证的实现了userdetail的类
3.自定义securityconfig该配置类由于是spirngboot工程,所以加上注解@configuration
这个接口实现三个方法三个configure方法
第一个方法用来做用户认证
auth.userDetailsService(hrService).passwordEncoder(new BCryptPasswordEncoder()) ;
将userserivce传入进来,然后后面的方法是认证规则,每一次都是用不同的认证规则来认证。第一个用户密码为123认证规则为a,第二个123认证规则则为b,也就是说同样的123再数据库中是不一样的字符串,但是铭文都是123
第二config为过滤web请求,暂时不管
第三个是最重要的对http请求的拦截规则
授权三部曲
第一步
在user类中获取用户角色集合
第二步
实现两个类
AccessDecisionManager,
FilterInvocationSecurityMetadataSource
第一个类用来判断用户是否具有该权限
第二个类用来获取所有的角色
第三步
在http拦截规则中添加一下代码
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { @Override public <O extends FilterSecurityInterceptor> O postProcess(O o) { o.setAccessDecisionManager(accessDecisionManager); o.setSecurityMetadataSource(metadataSource); return o; } })
以上完美解决权限问题