中软国际实习第六天-权限管理(filter及SpringSecurity使用)

最新推荐文章于 2020-11-26 05:04:23 发布
最新推荐文章于 2020-11-26 05:04:23 发布
阅读量202 收藏 2
点赞数
分类专栏: 企业实习 文章标签: 权限管理 filter实现 Spring Security使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41970098/article/details/96375001
版权

在实际运用中,不同类型用户会拥有不同的使用权限,为满足此需求,我们需要对权限管理进行实现。这里讲解两种方法,一是使用filter进行实现,二是使用Spring Security框架进行实现。
在这里插入图片描述

使用过滤器

(1)添加filter层,增加一个LoginFilter类(对Filter接口的实现)实现对登陆的过滤。如果未登录过就自动跳转到登陆界面。

public class LoginFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

}

   

 @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
        HttpSession session = request.getSession();
        if(session.getAttribute("userinfo")==null && request.getRequestURI().indexOf("/user/login.do")==-1){
            response.sendRedirect(request.getContextPath()+"user/login.do");
        }else{
            filterChain.doFilter(request, response);
        }

}

@Override
public void destroy() {

}

}

(2)修改web.xml文件,添加过滤器。对所有的.do函数都使用

<!-- 配置登陆过滤 -->
<filter>
  <filter-name>loginFilter</filter-name>
  <filter-class>com.zhongruan.filter.LoginFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>loginFilter</filter-name>
  <url-pattern>*.do</url-pattern>
</filter-mapping>

(3)修改control层。如果没有登陆数据就跳转到登陆界面,登陆成功跳转到主界面,登陆失败跳转到失败界面。

@RequestMapping("/login.do")
public ModelAndView login(UserInfo userInfo, HttpServletRequest request){
    ModelAndView mv = new ModelAndView();
    if(null==userInfo.getUsername()){
        mv.setViewName("../index");
    }else{
        boolean flag = userInfoService.login(userInfo);
        if(flag){
            mv.setViewName("main");
            request.getSession().setAttribute("userInfo", userInfo);
        }else{
            mv.setViewName("../failer");
        }
    }
    return mv;
}

使用Spring Security

Spring Security框架常用于认证和授权。认证是指判断用户名密码是否正确,授权是指判断某个角色是否有权执行或访问。以下为主要流程:

(1)修改pom.xml文件,声明Spring Security的版本并添加依赖

<spring.security.version>5.0.1.RELEASE</spring.security.version>
	
	
	
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>${spring.security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${spring.security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>${spring.security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${spring.security.version}</version>
</dependency>

(2)修改web.xml文件,配置访问过滤;

<!-- 配置访问过滤 -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

(3)添加spring-security.xml文件到Resources文件夹下,并在web.xml下配置加载类路径的配置文件
其中spring-security.xml中的内容,注意服务依据(user-service-ref)设为“userInfoService”,与服务层保持一致

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
       配置具体的规则
       auto-config="true" 不用自己编写登录的页面,框架提供默认登录页面
       use-expressions="false"    是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userInfoService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

</beans>

web.xml中的配置

<!-- 配置加载类路径的配置文件 -->
<context-param>
  <param-name>contextConfigLocation</param-name>
  <param-value>classpath*:applicationContext.xml,classpath*:spring-security.xml</param-value>
</context-param>

(4)修改服务层接口代码,使接口继承UserDetailsService类

public interface IUserInfoService extends UserDetailsService {
    List<UserInfo> findAll(int page, int size);
    void addUser(UserInfo userInfo);
    void deleteUser(int id);
    void updateUser(UserInfo userInfo);
    UserInfo searchUserById(int id);
    boolean login(UserInfo userInfo);
    void deleteAll(String ids);
}

(5)添加身份类型和用户身份两个表格
在这里插入图片描述
身份类型表格
在这里插入图片描述
用户身份表格

(6)增加与表格相应的实体类、持久类以及mapper文件
实体类代码

public class Role {
    private int id;
    private String roleName;
    private String roleDesc;

    public Role(int id, String roleName, String roleDesc) {
        this.id = id;
        this.roleName = roleName;
        this.roleDesc = roleDesc;
    }

    public Role() {
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getRoleName() {
        return roleName;
    }

    public void setRoleName(String roleName) {
        this.roleName = roleName;
    }

    public String getRoleDesc() {
        return roleDesc;
    }

    public void setRoleDesc(String roleDesc) {
        this.roleDesc = roleDesc;
    }

    @Override
    public String toString() {
        return "Role{" +
                "id=" + id +
                ", roleName='" + roleName + '\'' +
                ", roleDesc='" + roleDesc + '\'' +
                '}';
    }
}

持久层代码

public interface IRoleDao {
    List<Role> findRoleByUserId(int id);
}

mapper部分代码

<mapper namespace="com.zhongruan.dao.IRoleDao" >
    <select id="findRoleByUserId" parameterType="int" resultType="com.zhongruan.bean.Role">
        select * from role where id in (select roleId from users_role where userId = #{id})
    </select>
</mapper>

(7)在服务层增加具体的实现,使得能够根据用户姓名获取用户身份
// {noop}是为了加密。

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    UserInfo userInfo = userInfoDao.searchUserByName(username);
    List<Role> roles = roleDao.findRoleByUserId(userInfo.getId());
    User user = new User(userInfo.getUsername(), "{noop}"+userInfo.getPassword(), getAuthority(roles));
    return user;
}

private Collection<? extends GrantedAuthority> getAuthority(List<Role> roles){
    List<SimpleGrantedAuthority> list = new ArrayList<>();
    for(Role role:roles) {
        list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
    }
    return list;
}
朱砂色
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中软信息安全培训专用版
09-14
免杀性能好。稳定性强,这个是非常好的一份开源代码.
盘点认证框架 : SpringSecurity Filter
black-ant
08-03 604
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 一 . 前言 上一篇聊了聊 Secutity 的基础 , 这一篇我们聊一聊 S
萌新小白萌新中软实习day14,shiro权限管理+springcloud eureka
weixin_43562834的博客
08-05 126
shiro权限管理+springcloud eureka 这就是最后一天了呀,实习终于结束了,但其实这个也还没开始写 明天再改
中软国际(宁波)中软实习第七日上午学习记录(主要内容:权限控制、springSecurity
weixin_42337746的博客
07-03 368
本文记述今天上午所学习的内容,主要内容为:权限控制,springSecurity 所用到的软件 IntelliJ IDEA 2018.2.2 x64 jdk1.8 apache-tomcat-7.0.94 apache-maven-3.6.0 Webyog-SQLyog-Ultimate12.0.8.0 mysql-5.5.58-winx64 前提: 已经用IDEA+Maven+SSM框架实现...
中软国际实习第五天-分页器实现
qq_41970098的博客
07-16 146
本篇文档介绍了基于SSM框架的分页实现,解决了MyBatis不支持驼峰命名法的问题,介绍了转发与重定向的原理与区别,对权限管理做了需求分析与初步设想。
2020年中软国际-Java中级.pdf
08-18
在 Java 中,有两种方式来比较对象的相等性,一种是使用 == 运算符,另一种是使用 equals() 方法。== 运算符比较的是对象的内存地址,而 equals() 方法比较的是对象的内容。 在 Java 中,每个对象都有一个 hashCode...
2022年中软国际Java程序员笔试题及答案.doc
最新发布
11-04
- 垃圾收集器是Java自动内存管理的一部分,负责回收不再使用的对象所占用的内存,避免内存泄漏。 11. **String对象创建**: - `String s = new String("xyz");` 创建了两个对象,一个在常量池中("xyz"),另一个...
中软酒店管理系统-后台管理.pdf
06-26
中软酒店管理系统是一款专为酒店业设计的后台管理系统,它以强大的后台管理功能与前台业务紧密结合,实现对业务流程的深层控制和动态分析,优化管理效率,助力酒店提高利润、降低成本。系统主要涵盖以下几个核心模块...
(项目管理)毕业设计项目——中软国际.pdf
05-28
【项目管理】在毕业设计项目中,中软国际提供了多个基于不同技术和框架的软件系统设计与实现案例。这些项目展示了如何运用项目管理方法和技术来构建实际的IT解决方案。以下是各个项目的主要知识点: 1. **基于 ...
Filter(过滤器)常见应用(三)——权限管理系统(一)
mrdu_somefun的博客
10-14 817
我们要设计的权限管理系统,要使用Filter实现URL级别的权限认证。那我们不禁就要想设计出的权限管理系统应该使用在哪种情景中呢?我想应该是这样的一种情景吧:在实际开发中我们经常把一些执行敏感操作的servlet映射到一些特殊目录中,并用filter把这些特殊目录保护起来,限制只能拥有相应访问权限的用户才能访问这些目录下的资源。从而在我们系统中实现一种URL级别的权限功能。而且为使Filter具有
——基于方法的权限控制
dotedy的博客
12-08 2268
基于方法的权限控制          之前介绍的都是基于URL的权限控制,Spring Security同样支持对于方法的权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制,也可以通过pointcut对整个Service层的方法进行统一的权限控制,还可以通过注解定义对单独的某一个方法进行权限控制。   1.1     intercept-met
权限到shiro框架
07-07 6117
在说具体的框架之前,先把必要的理论知识简单的和大家交代一下。权限管理什么是权限管理基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。
Spring Security 自定义资源访问权限过滤器Fliter ,参考FilterSecurityInteceptor
不甘平庸的人
04-28 4120
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessD
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1586
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
SpringSecurity学习1 SpringSecurity实现的基础Filter
zyjzyj2的博客
04-27 419
参考: Servlet Security: The Big Picture 从源码和文档理解SpringSecurity 从宏观上来看 SpringSecurity是用了一系列Filter,来处理权限的问题 在请求,达到Servlet和Controller之前,就进行权限的校验 让权限和业务逻辑彻底解耦 以下是讲解,SpringSecurity是怎么用Filter的 1. 容器是如何使用Fi...
过滤器Filter使用filter优先于springsecurity执行
qq_36741679的博客
05-28 3269
场景: springboot项目整合了springSecurity,所有的controller接口都需要认证通过才能访问。 现在需要对接第三方接口,接收第三方推送的数据。然而第三方推送接口的数据是固定的,不能传认证信息。 在这样的情况下,我们如何接收第三方推送的数据? (注: springSecurity的相关配置不能改动) 方案一: 另外构建一个项目,专门接收第三方数据。 方案二: 在原项目中添加过滤器,先执行该过滤器后执行springSecurity认证,在过...
中软国际PM认证答辩PPT:项目管理实战与关键能力分享
该PPT是关于中软国际的项目管理专业人员(Project Manager, PM)任职认证答辩,由一位申请人在2019年4月分享。内容覆盖了信息系统项目管理的广泛领域,不仅包括了理论知识,还强调了实际工作经验和项目理解的深度。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值