【SSM整合学习】spring-security入门（二）加密与方法级权限控制

前言： 在上一篇文章讲到了{noop}的使用，在封装user时密码前面需要参加上这个，其原理是我们的密码没有进行加密，需要添加{noop}来保障密码的安全，本篇文章来介绍通过spring-security来对密码进行加密和解密的操作，实现密码的安全。

1.加密的配置

1.1 spring-security

<!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

 <!-- 配置加密的方式-->
    		<security:password-encoder ref="passwordEncoder"/>

1.2 userServiceImpl

//        处理自己的用户对象封装成UserDetails，不在需要noop前缀
        User user = new User(userInfo.getUsername(), userInfo.getPassword(), userInfo.getStatus() == 0 ? false : true, true, true, true, getAuthority(userInfo.getRoles()));

2.新建用户实现

2.1 流程分析

2.2 userConrtoller

    @RequestMapping("/save.do")
    public String save(UserInfo user) {
        userService.save(user);
        return "redirect:findAll.do";
    }

2.3 userService

    @Override
    public void save(UserInfo userInfo) {
//        对密码进行加密
        userInfo.setPassword(bCryptPasswordEncoder.encode(userInfo.getPassword()));
        userDao.save(userInfo);
    }

2.3 userDao

  @Insert("insert into users(username,email,password,phoneNum,status) values(#{username},#{email},#{password},#{phoneNum},#{status})" )
    public void save(UserInfo user);

3. 案例实现

3.1 登录

action：这里的tom账户的密码是在数据库中已经加密的，可以登录成功 。如果没有加密，登录失败
如下：

3.2 添加用户信息

添加成功后，我们再来登录该用户发现出错了
为什么会出错呢？ 原因很简单，我们用的spring-security框架进行了认证和权限，这个用户没有添加角色，即权限不足，登录失败，接下来在数据库中添加角色后登录

显然登录成功。
这里我们可以总结：登录成功的几个条件：
1.账户密码必须正确
2.由于进行了加密，登录的密码在数据库中必须是加密了的
3.必须具有相应的登录权限。

3.方法级权限控制

简介： Spring Security在方法的权限控制上支持三种类型的注解，JSR-250注解、@Secured注解和支持表达式的注解，这三种注解默认都是没有启用的。

3.1 JSR-250注解

1. 在spring-security.xml文件中配置开启注解

<security:global-method-security jsr250-annotations="enabled"/> 

2. 在pom.xml中添加依赖

   <dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
   </dependency>

3. 对指定方法添加注解
   @RolesAllowed表示访问对应方法时所应该具有的角色
   @PermitAll表示允许所有的角色进行访问，也就是说不进行权限控制
   @DenyAll是和PermitAll相反的，表示无论什么角色都不能访问
   
   登录一个没有ADMIN权限的账户查询product信息
   页面显示如下：
   该注解测试成功！

3.2 @Secured注解（多用，不用添加依赖）

1. 在spring-security中开启注解

   <!--方法权限注解开启-->
    <security:global-method-security secured-annotations="enabled"/>

2. 在指定方法中添加注解
   ==注意：==在jsr250注解时，可以省略ROLE_，但是在secured注解时，必须加上前缀ROLE_。

3.3 表达式方法注解（spel）

1. 在spring-security中开启注解

<security:global-method-security pre-post-annotations="enabled"/>

2. 添加注解
   

3. 测试
   测试成功。

4.页面端权限控制

4.1 注解介绍

(1) authentication

<security:authentication property="" htmlEscape="" scope="" var=""/> 

property： 只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，
不允许直接通过方法进行调用
htmlEscape：表示是否需要将html进行转义。默认为true。
scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认我pageContext。Jsp中拥
有的作用范围都进行进行指定
var： 用于指定一个属性名，这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存
放，默认是存放在pageConext中

(2) authorize
authorize是用来判断普通权限的，通过判断用户是否具有对应的权限而控制其所包含内容的显示

<security:authorize access="" method="" url="" var=""></security:authorize> 

access： 需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限
method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限，
method的默认值为GET，可选值为http请求的7种方法
url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中

4.2 导入依赖

<dependency> 
  <groupId>org.springframework.security</groupId> 
  <artifactId>spring-security-taglibs</artifactId> 
  <version>version</version> 
</dependency> 

4.2 authentication与authorize注解使用

1. authentication

<security:authentication property="principal.username" >

2. authorize
在jsp页面中导入标签

<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

设置只有具有ADMIN角色的用户才能看到用户管理模块
action： 这里使用了spel表达式，而配置文件中没有开启，运行会报错，有两个方法解决

方法1
方法2
以上代码与之前不变
在后面添加这行代码即可

<!--配置web页面可以使用spel表达式-->
     <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />

test用户（不是admin）

tom用户（admin角色）

可以看出我们的页面段权限控制成功！