(Spring Security)实战干货一:自定义权鉴的实现

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量640 收藏 3
点赞数 2
分类专栏: Spring Security 文章标签: spring java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014034105/article/details/126267295
版权

(Spring Security)实战干货一,自定义权鉴的实现

引言

SSM(Spring+SpringMVC+MyBatis)整合SpringSecurity实现权限认证和授权。以下内容完全基于你已经了解属性SSM基础上完成。废话不多说,直接上源码。

配置

Maven工程pom.xml包导入设置

截取security相关配置部分

  <properties>
    .....
    <spring.security.version>5.0.1.RELEASE</spring.security.version>
  </properties>
  <dependencies>
  	.....
    <!--security权限认证-->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>javax.servlet-api</artifactId>
      <version>3.1.0</version>
      <scope>provided</scope>
    </dependency>
    <!--thymeleaf与security 配合-->
    <dependency>
      <groupId>org.thymeleaf.extras</groupId>
      <artifactId>thymeleaf-extras-springsecurity4</artifactId>
      <version>3.0.4.RELEASE</version>
    </dependency>
  </dependencies>

spring-mvc配置

spring-mcv.xml与security相关部分配置

    <bean id="templateEngine" class="org.thymeleaf.spring4.SpringTemplateEngine">
        <property name="templateResolver" ref="templateResolver" />
        <!--thymeleaf配合security部分-->
        <property name="additionalDialects">
            <set>
                <bean class="org.thymeleaf.extras.springsecurity4.dialect.SpringSecurityDialect"></bean>
            </set>
        </property>
    </bean>

spring-security配置

最为核心重要的配置,该配置,完全是基于动态连接数据库实现

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
    <!-- 配置不过滤的资源(静态资源及登录相关) -->
    <security:http security="none" pattern="/static/**" />
    <security:http security="none" pattern="/images/**" />
    <security:http security="none" pattern="/js/**" />
    <security:http security="none" pattern="/style/**" />
    <security:http security="none" pattern="/favicon.ico" />
    <!--操作界面-->
    <security:http security="none" pattern="/login.jsp" />

    <!--auto-config:默认登录框,use-expressions:SPEL表达式-->
    <security:http auto-config="false" use-expressions="false" >
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/"
                username-parameter="username"
                password-parameter="password"
                default-target-url="/index"
                always-use-default-target="true"
        />
        <!--自定义过滤器(实现权鉴可在此处实现)-->
        <security:custom-filter ref="oursFilterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
        <!-- 关闭CSRF(跨域)true,false默认是开启的 -->
        <security:csrf disabled="true" />
        <!--停用对匿名认证的支持-->
        <security:anonymous enabled="false"/>
        <!--iframe调用-->
        <security:headers>
            <security:frame-options policy="SAMEORIGIN"/>
        </security:headers>
        <!--退出-->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/common/login"></security:logout>
        <!--403页面-->
        <!--<security:access-denied-handler error-page="/403"></security:access-denied-handler>-->
    </security:http>

    <!-- 动态:切换成数据库中的用户名和密码 -->
    <security:authentication-manager alias="authenticationManager">
        <security:authentication-provider user-service-ref="oursUserDetailsService">
            <!-- 配置加密的方式-->
            <security:password-encoder ref="oursPasswordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类(已经通过注解方式添加bean了!此处注释掉) -->
    <!--<bean id="oursPasswordEncoder" class="cc.eeec.com.libs.security.OursPasswordEncoder"/>-->
    <!-- 认证过滤器 -->
    <bean id="oursFilterSecurityInterceptor"
          class="index.security.OursFilterSecurityInterceptor">
        <property name="rejectPublicInvocations" value="false"/>
        <!-- 用户拥有的权限 -->
        <property name="accessDecisionManager" ref="accessDecisionManager" />
        <!-- 用户是否拥有所请求资源的权限 -->
        <property name="authenticationManager" ref="authenticationManager" />
        <!-- 资源与权限对应关系 -->
        <property name="securityMetadataSource" ref="securityMetadataSource" />
    </bean>

    <!--访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
    <bean id="accessDecisionManager" class="index.security.OursAccessDecisionManager"></bean>
    <!--资源源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问 -->
    <bean id="securityMetadataSource" class="index.security.OursSecurityMetadataSource" ></bean>
</beans>

核心文件

略去包名和import引入

OursFilterSecurityInterceptor.class

public class OursFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    /*public OursFilterSecurityInterceptor(){
        System.out.println("安全拦截器1:OursFilterSecurityInterceptor");
    }*/

    private static final String FILTER_APPLIED = "__spring_security_filterSecurityInterceptor_filterApplied";
    private FilterInvocationSecurityMetadataSource securityMetadataSource;
    private boolean observeOncePerRequest = true;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        //System.out.println("安全拦截器1.1");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        //System.out.println("安全拦截器1.2");
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    @Override
    public void destroy() {
        //System.out.println("安全拦截器1.3");
    }

    @Override
    public Class<? extends Object> getSecureObjectClass() {
        //System.out.println("安全拦截器1.4");
        return FilterInvocation.class;
    }


    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        //System.out.println("安全拦截器1.5");
        if ((fi.getRequest() != null)
                && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
                && observeOncePerRequest) {
            // filter already applied to this request and user wants us to observe
            // once-per-request handling, so don't re-do security checking
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        }
        else {
            // first time this request being called, so perform security checking
            if (fi.getRequest() != null && observeOncePerRequest) {
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
            }

            InterceptorStatusToken token = super.beforeInvocation(fi);

            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            }
            finally {
                super.finallyInvocation(token);
            }

            super.afterInvocation(token, null);
        }
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
       // System.out.println("安全拦截器1.6");
        return this.securityMetadataSource;
    }

    public void setSecurityMetadataSource(
            FilterInvocationSecurityMetadataSource newSource) {
        //System.out.println("安全拦截器1.7");
        this.securityMetadataSource = newSource;
    }
}

OursAccessDecisionManager.class

/**
 * 自定义访问决策器
 */
public class OursAccessDecisionManager implements AccessDecisionManager {
    /*public OursAccessDecisionManager(){
        System.out.println("访问决策管理器2:OursAccessDecisionManager");
    }*/
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //System.out.println("访问决策管理器2.1:验证用户是否具有一定的权限");
        if (collection == null) {
            return;
        }
        Iterator<ConfigAttribute> it = collection.iterator();
        while (it.hasNext()) {
            String needResource = it.next().getAttribute();
            Collection<? extends GrantedAuthority> authorities=authentication.getAuthorities();
            for (GrantedAuthority ga : authorities) {
                if (needResource.equals(ga.getAuthority())) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("没有访问权限!");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        //System.out.println("访问决策管理器2.2");
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        //System.out.println("访问决策管理器2.3");
        return true;
    }
}

OursSecurityMetadataSource.class

/**
 * 过滤器:资源数据定义。
 * 将全部的资源和权限相应关系建立起来,
 * 即定义某一资源能够被哪些角色访问
 */
//@Component("oursSecurityMetadataSource")
public class OursSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    /*public OursSecurityMetadataSource() {
        System.out.println("安全元数据3:OursSecurityMetadataSource");
    }*/

    @Autowired
    private IRoleService roleService;
    @Autowired
    private IAuthAccessService authAccessService;

    private AntPathMatcher urlMatcher = new AntPathMatcher();
    //保存资源和权限的相应关系 key(资源url) value(权限)
    private static Map<String, Collection<ConfigAttribute>> resourceMap = null;


    private void loadResourcesDefine() throws Exception {
        //System.out.println("安全元数据3.1:开始载入资源列表数据");
        resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
        List<AuthAccess> authAccesses = authAccessService.findAll();
        Collection<ConfigAttribute> configAttributes;
        for (AuthAccess authAccess : authAccesses) {
            //根据资源列表获取对于的role信息
            Role role = roleService.findById(authAccess.getRole_id());
            ConfigAttribute configAttribute = new SecurityConfig(role.getCode());
            //
            if (resourceMap.containsKey(authAccess.getRule_name())) {
                configAttributes = resourceMap.get(authAccess.getRule_name());
                configAttributes.add(configAttribute);
            } else {
                configAttributes = new ArrayList<ConfigAttribute>();
                configAttributes.add(configAttribute);
                resourceMap.put(authAccess.getRule_name(), configAttributes);
            }
        }

        //--展示权限对应关系--
        /*Set<String> set = resourceMap.keySet();
        Iterator<String> it = set.iterator();
        while (it.hasNext()) {
            String s = it.next();
            System.out.println("key:" + s + ",value:" + resourceMap.get(s));
        }*/
        //--
    }

    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        try {
            loadResourcesDefine();
        } catch (Exception e) {
            e.printStackTrace();
        }
        //System.out.println("安全元数据3.2");
        //避免返回null值,否则AccessDecisionManager失效
        Collection<ConfigAttribute> collection = new LinkedList<>();
        //o 是一个URL?
        String url = ((FilterInvocation) o).getRequestUrl();
        System.out.println("请求地址为:" + url);
        //--
        Iterator<String> it = resourceMap.keySet().iterator();
        while (it.hasNext()) {
            String resUrl = it.next();
            //
            if (resUrl.indexOf("?") != -1) {
                resUrl = resUrl.substring(0, resUrl.indexOf("?"));
            }
            if (urlMatcher.match(resUrl, url)) {
                System.out.println("须要的权限是:" + resourceMap.get(resUrl));
                return resourceMap.get(resUrl);
            }
        }
        // 坑:大多数网上提供的返回值是null,如果是null则会跳过不执行自定义的OursAccessDecisionManager访问决策管理器,自定义的权鉴将无效
        collection.add(new SecurityConfig("ROLE_NO_USER"));
        return collection;
    }


    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        //System.out.println("安全元数据3.3");
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        //System.out.println("安全元数据3.4");
        return true;
    }
}

OursPasswordEncoder.class

/**
 * 编码器:自定义密码验证编码器
 */
@Component("oursPasswordEncoder")
public class OursPasswordEncoder implements PasswordEncoder {
    /*public OursPasswordEncoder(){
        System.out.println("密码编码器4:OursPasswordEncoder");
    }*/
    /**
     * 加密
     *
     * @param charSequence
     * @return
     */
    @Override
    public String encode(CharSequence charSequence) {
        //System.out.println("密码编码器4.1");
        //自定义盐
        String authCode = null;
        String AUTHCODE = "盐";//
        if (!(authCode != null && authCode.length() != 0)) {
            authCode = AUTHCODE;
        }
        //加密方式 简单MD5加密,可以用securit自带加密方式,更安全,此处是演示使用,自定义自己的加密方式
        String password = (String) charSequence;
        password = authCode + password;
        password = DigestUtils.md5DigestAsHex(password.getBytes());
        return password;
    }

    /**
     * 加密对比
     *
     * @param charSequence
     * @param s
     * @return
     */
    @Override
    public boolean matches(CharSequence charSequence, String s) {
        //System.out.println("密码编码器4.2");
        //加密部分
        String password = encode(charSequence);
        //--
        return s.equals(password);
    }
}

OursUserDetailsService.class

/**
 * 服务器:自定义,用户认证服务
 */
@Component("oursUserDetailsService")
public class OursUserDetailsService implements UserDetailsService {
    public OursUserDetailsService(){
        System.out.println("用户详情5:OursUserDetailsService");
    }
    @Autowired
    private IUsersService usersService;

    /**
     * Security权限管理用户数据库方法
     *
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("用户详情5.1");
        //查询用户
        Users users = usersService.findByUsername(username);
        if (users == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        
        //方式三:貌似还是有问题
        List<String> roles = usersService.findRolesCodeByUserId(users.getId());
        List<String> rules = usersService.findRuleNameByUserId(users.getId());
        List<String> authorities = new ArrayList<>();
        if (users.getId() == 1) {
            authorities.add("ROLE_ADMIN");
        } else {
            roles = roles.stream()
                    .map(rc -> "ROLE_" + rc)
                    .collect(Collectors.toList());
            authorities.addAll(roles);
            authorities.addAll(rules);
        }
        User user = new User(users.getUsername(), users.getPassword(), AuthorityUtils.commaSeparatedStringToAuthorityList(String.join(",", authorities)));
        return user;
    }
}

至此自定义的用户权限认证和授权已经完美实现。
希望对大家有帮助

希克
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity实现自定义登录认证、权限验证、鉴权
热门推荐
紫眸的博客
04-25 1万+
SpringSecurity实现自定义登录认证、权限验证、鉴权 Demo源码:https://github.com/ygsama/ipa 自定义登录认证的实现需要实现三个接口 UserDetails 用户类接口 UserDetailsService 查询用户密码的service 接口 AuthenticationProvider 为认证管理器AuthenticationManager 提供验证 自定义权限验证时也需要实现三个接口:
Spring securty<九> 鉴权-自定义鉴权规则
鸭鸭的博客
09-23 903
Spring securty<九> 鉴权-自定义鉴权规则 文章目录Spring securty<九> 鉴权-自定义鉴权规则1、简介2、特性2.1、身份验证2.2、资源保护,防止跨站点请求伪造(CSRF)3、自定义鉴权规则3.1、复制项目代码3.2、创建鉴权的接口3.3、鉴权接口的实现3.4、配置WebSecurityConfig类4、测试演示 本地项目的基础环境 环境 版本 jdk 1.8.0_201 maven 3.6.0 Spring-boot 2.3.3
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1038
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
spring security 实现自定义url鉴权
骆佳威的博客
03-11 2314
package com.liuyanzhao.sens.config.security; import com.liuyanzhao.sens.common.utils.SecurityUtil; import com.liuyanzhao.sens.config.security.jwt.AuthenticationFailHandler; import com.liuyanzhao.sens....
Spring Security 优化鉴权注解:自定义鉴权注解的崭新征程
学IT,找陈寒
01-19 1932
Spring Security是一个功能强大且灵活的安全框架,用于保护Spring应用程序中的资源。它提供了身份验证(Authentication)和授权(Authorization)等安全性功能,可用于Web应用程序和非Web应用程序。自定义鉴权注解是指根据业务需求,在Spring Security基础上创建符合具体场景的鉴权注解。相对于接下来,让我们通过一个实际的例子来演示如何实现自定义鉴权注解。假设我们有一个场景,只有在特定时间段内才能执行某个操作,我们可以创建一个注解。@Target({
Spring Security账号密码认证 + 自定义鉴权(示例)
JustryDeng
04-09 4236
声明: 本文先演示效果,然后再给出几个相对关键的类;完整测试项目,可详见文末链接。 效果演示: 说明: 张三属于普通用户,能访问一些普通的页面以及/user页。 李四属于数据库管理员,能访问一些普通的页面以及/user页、/dba页。 王五属于超级管理员,能访问一些普通的页面以及/user页、/dba页、/admin页。 演示: 普通用户张三: 数据库管理员李四: 超级管理员王五...
Spring Security实战--(五)认证和鉴权过程
Double____C的博客
04-02 1082
标准的身份验证方案: 用户使用用户名和密码登录; 系统验证用户的额密码正确,成功登录; 获取该用户的上下文,即该用户的角色列表; 为用户建立安全的上下文 用户可能会继续执行某些操作,该操作可能会受到访问控制机制的保护,该访问控制机制会根据当前安全上下文信息检查该操作所需的权限 其中,前四个步骤构成了认证过程,在SpringSecurity中流程如下: 获取用户名和密码,并将其组合到一个Use...
spring security自定义认证和自定义授权
kingf_muzl的博客
02-07 799
spring security自定义认证和自定义授权 第一种方式:自定义login接口: public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //通过的url
Spring Security 实战内容:SecurityContext相关的知识
vx539413949的博客
04-14 473
1. 前言 今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的。因为你认证通过后访问资源,系统是知道你是谁的。而且显式的暴露用户的检索接口也不安全。所以我们需要一个业务中可以检索当前认证用户的工具。接下来我们来看看 Spring Security 是如何解决这个痛点的。 2. 安全上下文 SecurityContext 不知
Spring Security 干货分享:客户端OAuth2授权请求的入口
weixin_52362480的博客
11-10 733
1. 前言 在Spring Security 实战干货:OAuth2第三方授权初体验一文中我先对OAuth2.0涉及的一些常用概念进行介绍,然后直接通过一个DEMO来让大家切身感受了OAuth2.0第三方授权功能。今天我们来一步一步分析这其中的机制。 2. 抓住源头 http://localhost:8082/oauth2/authorization/gitee 上面这个请求URL是我们在上一篇文章中提到的客户端进行第三方认证操作的起点,默认格式为{baseUrl}/oauth2/authorization
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
Spring Security源码分析十六:Spring Security项目实战
郑龙飞
03-18 3095
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
Spring Boot入门(23):记录接口日志再也不难!用AOP和自定义注解给Spring Boot加上日志拦截器!
**My Coding Family**
09-01 3131
基于AOP实现自定义注解拦截接口日志并入库,一文教会你。
Spring Security入门(3-6)Spring Security鉴权 - 自定义权限前缀
weixin_34082695的博客
06-15 144
   
spring security鉴权
行云的博客
07-07 3726
1.SpringSecurity 鉴权 - [重点]RBAC 基于角色访问控制 Role-Based Access Control组成部分:RBAC模型里面,有3个基础组成部分,分别是:用户user、角色role 和 权限permssionUser(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限Permission...
Spring全家桶-Spring Security自定义数据库表认证和鉴权
HQ DevJ的专栏
05-10 1459
Spring全家桶-Spring Security自定义数据库表认证和鉴权 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security自定义数据库表认
SpringSecurity如何自定义权限认证
weixin_42589700的博客
02-10 127
Spring Security 是一个强大的 Java 安全框架,它可以帮助您在应用程序中保护用户数据和资源。 要自定义 Spring Security 的权限认证,您需要做以下几步: 创建自定义用户服务类。这个类需要实现 Spring Security 提供的 UserDetailsService 接口,并覆盖其中的 loadUserByUsername() 方法。在这个方法中,您可以从数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希克

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值