springsecurity用户授权以及页面控制、后台页面控制

最新推荐文章于 2024-08-03 19:15:01 发布
最新推荐文章于 2024-08-03 19:15:01 发布
阅读量3.4k 收藏 9
点赞数 2
分类专栏: springsecurity SSM 文章标签: springsecurity ssm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wilson27/article/details/89922412
版权

第1章 用户授权

1.1 角色从数据库加载
1.1.1 修改自定义授权认证类

修改自定义认证类,代码如下:

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    //通过账号查询用户信息
    SysUser sysUser = userDao.getByUserName(username);

    if(sysUser!=null){
        // 先设置假的权限
        List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();

        //获取用户角色
        List<SysRole> roles = sysUser.getRoles();

        for (SysRole role : roles) {
            // 传入角色
            authorities.add(new SimpleGrantedAuthority(role.getRoleName()));
        }

        // 创建用户,这和用户是springsecurity中的User
        //User user = new User(username, "{noop}"+sysUser.getPassword(), authorities) ;
        User user = new User(username, sysUser.getPassword(), authorities) ;
        return user;
    }
    return null;
}
1.1.2 修改UserDao

直接修改Dao,通过@Many调用com.itheima.dao.RoleDao.getByUserId查询用户的角色信息。

/***
 * 查询用户信息
 * @param name
 * @return
 */
@Select("select * from sys_user where username=#{username}")
@Results(
        //根据用户信息查询角色信息
        @Result(property ="roles",column = "id",
                many = @Many(select = "com.itheima.dao.RoleDao.getByUserId",
                        fetchType = FetchType.LAZY))
)
SysUser getByUserName(String name);
1.2 access属性的配置

access的值是一个字符串,其可以直接是一个权限的定义,也可以是一个表达式。常用的类型有简单的角色名称定义,多个名称之间用逗号分隔。

 <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
 在上述配置中就表示secure路径下的所有URL请求都应当具有ROLE_USER或ROLE_ADMIN权限。当access的值是以“ROLE_”开头的则将会交由RoleVoter进行处理。

此外,其还可以是一个表达式

use-expressions="true" <security:intercept-url pattern="/secure/**"  access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

或者是使用hasRole()表达式,然后中间以or连接

<security:intercept-url pattern="/secure/**" access="hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')"/>

匿名访问配置:IS_AUTHENTICATED_ANONYMOUSLY表示用户不需要登录就可以访问;

第2章 用户模块

2.1 获取用户名
2.1.1 Session信息分析

我们使用SpringSecurity实现对用户的访问拦截操作,如果用户没有登录,那么SpringSecurity会让用户进行登录,但是目前为止,我们还从未获取过登录用户信息,用户信息会存储到哪里呢?根据我们以往的开发经验,一般会将用户信息存入Session,我们可以在用户登录之后将Session输出。

修改main.jsp,在内容区域处添加session信息

<!-- 内容区域 -->
<div class="content-wrapper">
   ${sessionScope}
</div>
<!-- 内容区域 /-->

用z1用户登录,session信息如下:

{SPRING_SECURITY_CONTEXT=org.springframework.security.core.context.SecurityContextImpl@bbe395ff:
 Authentication: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@bbe395ff: 
 Principal: org.springframework.security.core.userdetails.User@ef7: Username: z1; Password: [PROTECTED]; 
 Enabled: true; 
 AccountNonExpired: true; 
 credentialsNonExpired: true; 
 AccountNonLocked: true; 
 Granted Authorities: ROLE_USER; 
 Credentials: [PROTECTED]; 
 Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@fffe9938: RemoteIpAddress: 0:0:0:0:0:0:0:1; 
 SessionId: BA5BC6E21D04DEDEA4A539AD6B1205F1; 
 Granted Authorities: ROLE_USER}

Session信息中有一个key叫SPRING_SECURITY_CONTEXT,它所对应的类是SecurityContextImpl,这个类是SecurityContext接口的实现类,它里面包含一个对象Authentication,这个接口的实现类是UsernamePasswordAuthenticationToken,这个类里有个对象Principal,而这个对象就是User,这个User也就是每次我们登录封装的用户信息对象,里面包含了用户名,用户密码和授权信息。

​按照这个分析,我们可以直接从session中在页面取出用户信息,取法如下:

<!-- 内容区域 -->
<div class="content-wrapper">
   ${sessionScope.SPRING_SECURITY_CONTEXT.authentication.principal.username}
</div>
2.1.2 SpringSecurity标签获取用户信息

SpringSecurity也提供了对应的标签来获取用户信息,不过我们得先导入对应的标签包。

在ssm-parent中引入

<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-taglibs</artifactId>
	<version>${spring.security.version}</version>
</dependency>

在ssm-web中引入

  <dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
  </dependency>

在页面引入(header.jsp)

<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>
<security:authentication property="principal.username" />
2.1.3 服务器端后台对象封装的分析
  1. 对象的封装,认证通过后会返回User对象,该对象中包含用户名等信息。
  2. principal(主角)就是User对象。
  3. 框架会把principal封装到Authentication(认证)对象中
  4. Authentication对象会封装到SecurityContext(Security上下文对象)中
  5. 最后会把SecurityContext绑定到当前的线程中

后台获取用户信息代码:

/***
 * 先获取到SecurityContext对象
 */
SecurityContext securityContext = SecurityContextHolder.getContext();

//获取认证对象
Authentication authentication = securityContext.getAuthentication();

//获取用户登录信息
User user = (User) authentication.getPrincipal();
System.out.println(user.getUsername());
2.1 页面权限控制
2.1.1 开启SpELl表达式

这里需要先开启SpELl表达式,否则不能使用SpringSecurity页面对应的标签。

设置use-expressions="true",access修改:access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"

<security:http auto-config="true" use-expressions="true">
    <!-- 配置拦截的请求地址,任何请求地址都必须有ROLE_USER的权限 -->
    <security:intercept-url pattern="/index.jsp" access="ROLE_USER" />
    <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />
    
	//略....
</security:http>
2.1.2 页面使用security:authorize
<security:authorize access="hasAnyRole('ROLE_ADMIN','ROLE_USER')">
	<li class="treeview"><a href="#"> <i class="fa fa-cogs"></i>
			<span>系统管理</span> <span class="pull-right-container"> <i
				class="fa fa-angle-left pull-right"></i>
		</span>

	</a>
	<ul class="treeview-menu">

		<li id="system-setting"><a
			href="${pageContext.request.contextPath}/user/list"> <i
				class="fa fa-circle-o"></i> 用户管理
		</a></li>
		<li id="system-setting"><a
			href="${pageContext.request.contextPath}/role/list"> <i
				class="fa fa-circle-o"></i> 角色管理
		</a></li>
        <security:authorize access="hasAnyRole('ROLE_ADMIN')">
		<li id="system-setting"><a
			href="${pageContext.request.contextPath}/permisson/list">
				<i class="fa fa-circle-o"></i> 权限管理
		</a></li>
		<li id="system-setting"><a
			href="${pageContext.request.contextPath}/pages/syslog-list.jsp"> <i
				class="fa fa-circle-o"></i> 访问日志
		</a></li>
        </security:authorize>
	</ul></li>
</security:authorize>
2.2 在服务器端控制权限

通过上面的控制,我们发现一个问题,用户只是页面看不到菜单按钮,但让然能访问原来地址,我们需要做后台权限控制。这里提供了多种注解方式实现,我们着重讲讲其中3种注解实现方式。但无论哪种方式,都需要首先开启AOP支持,并且不能多种注解同时使用。修改SpringMVC配置文件如下:

<!--开启AOP-->
<aop:aspectj-autoproxy proxy-target-class="true" />
2.2.1 @RolesAllowed

使用该注解需要首先引入依赖:

在pom.xml中引入:

<dependency>
    <groupId>javax.annotation</groupId>
    <artifactId>jsr250-api</artifactId>
    <version>1.0</version>
</dependency>

在spring-security.xml配置文件中开启JSR-250的注解支持

<security:global-method-security jsr250-annotations="enabled"/>

在Controller的类或者方法上添加注解

@RolesAllowed("ROLE_ADMIN")
public class RoleController {}
2.2.2 security注解方式权限拦截:@Secured

在spring-security.xml配置文件中开启注解支持

<security:global-method-security secured-annotations="enabled"/>

在Controller类或者方法添加注解

@Secured("ROLE_ADMIN")
public class RoleController{}
2.2.3 Spring表达式的方式

在spring-security.xml配置文件中开启注解支持

<security:global-method-security pre-post-annotations="enabled"/>

在Controller类或者方法添加注解

@PreAuthorize("hasAuthority('ROLE_ADMIN')")
public class RoleController {}
2.3 页面403处理

在用户没有权限访问时,经常会出现403页面,不是很友好。SpringSecurity对这个也有控制,只需要在spring-security.xml中加上如下配置即可。

<security:access-denied-handler error-page="/403.jsp"/>

1542953715840

第3章 日志功能

3.1 搭建日志开发环境

创建日志表结构

--日志表
CREATE TABLE `sys_log` (
  `id` int(10) NOT NULL,
  `visitTime` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `username` varchar(50) DEFAULT NULL,
  `ip` varchar(30) DEFAULT NULL,
  `method` varchar(200) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

同时为表结构创建SysLog实体Bean

public class SysLog {
    private Long id;
    private Date visitTime;
    private String username;
    private String ip;
    private String method;
	//get...set...
}

创建SysLogDao接口

public interface SysLogDao {
    /**
     * 增加日志
     * @param sysLog
     */
    @Insert("insert into sys_log(visitTime,username,ip,method)values(#{visitTime},#{username},#{ip},#{method})")
    void addLog(SysLog sysLog);

}

创建SysLogService接口

public interface SysLogService {
    void addLog(SysLog sysLog);
}

创建SysLogServiceImpl实现类

@Service
public class SysLogServiceImpl implements SysLogService {

    @Autowired
    private SysLogDao sysLogDao;

    @Override
    public void addLog(SysLog sysLog) {
        sysLogDao.addLog(sysLog);
    }
}
3.2 AOP日志操作类

由于需要记录用户IP,所以需要创建RequestContextListener监听,它会把每次用户请求注入到SpringIOC容器中。

在web.xml中添加监听器

<!-- 配置监听器,监听request域对象的创建和销毁的 -->
<listener>
	<listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
</listener>

创建LogHandler类

@Aspect
@Component
public class LoggerHandler {

    @Autowired
    private SysLogService sysLogService;

    @Autowired
    private HttpServletRequest request;

    /***
     * 前置通知日志操作
     * @param jp
     */
    @Before(value = "execution(* com.itheima.controller.*Controller.*(..))")
    public void logBefore(JoinPoint jp){
        addLog(jp,"Before");
    }

    /***
     * 后置通知日志操作
     * @param jp
     */
    @After(value = "execution(* com.itheima.controller.*Controller.*(..))")
    public void logAfter(JoinPoint jp){
        addLog(jp,"After");
    }

    /***
     * 添加日志
     * @param jp
     */
    public void addLog(JoinPoint jp,String adviceType){
        //获取用户的IP
        String ip = request.getRemoteAddr();
        //方法名字
        String methodName = jp.getSignature().getName();
        Class clazz = jp.getSignature().getDeclaringType();

        SysLog sysLog = new SysLog();
        sysLog.setIp(ip);
        sysLog.setMethod(adviceType+":"+clazz+"."+methodName);
        sysLog.setUsername(getUserName());
        sysLog.setVisitTime(new Date());

        //添加日志操作
        sysLogService.addLog(sysLog);
    }

    /***
     * 获取用户名字
     * @return
     */
    public String getUserName(){
        return SecurityContextHolder.getContext().getAuthentication().getName();
    }
}
MainPoser
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot-springsecurity权限控制的万能后台管理系统
09-26
在这个后台管理系统中,SpringSecurity主要负责用户登录验证、权限分配、访问控制等功能。它允许开发者自定义认证和授权流程,以适应各种复杂的权限管理场景。 在系统设计上,该后台管理系统可能包括了用户管理、...
spring security权限控制(方法级别+页面级别)注解简单使用
qq_26496077的博客
11-04 1345
一: 方法级别权限控制 JSR-250注解 pom.xml文件中导入依赖jar包 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </depe
利用SSM框架实现用户登录功能
m0_59687371的博客
06-07 460
ssm
SpringSecurity-1(认证和授权+SpringSecurity入门案例+自定义认证+数据库认证)
最新发布
yinying293的博客
08-03 709
SpringSecurity(认证和授权+SpringSecurity入门案例+自定义认证+数据库认证)
Spring Security权限控制
m0_56409614的博客
03-20 2417
该文章为学习Spring Security(权限控制)的一点基础知识
springboot整合SpringSecurity实现简单权限控制
听钱塘信来的博客
11-28 6903
springboot整合SpringSecurity实现简单权限控制
ssm 项目记录用户操作日志和异常日志
it1993的博客
06-10 5739
借助网上参考的内容,写出自己记录操作日志的心得!! 我用的是ssm项目使用aop记录日志;这里用到了aop的切点 和 自定义注解方式; 1、建好数据表:   数据库记录的字段有: 日志id 、操作人、操作人IP、操作时间、操作方法、操作哪个控制层或者服务层、操作说明(记录用户操作的详情说明)、类型、异常信息 2、在spring重配置如下:   因为在spring里我配置了记录服务层...
SpringBoot整合权限控制SpringSecurity.docx
12-10
总结来说,SpringBoot整合SpringSecurity提供了全面的权限控制,而Element UI的多标签页组件则优化了前端用户界面,使得在后台管理系统中可以轻松地在多个功能页面之间切换。这种结合使用的方式不仅提升了系统的安全...
SpringBoot+SpringSecurity+Vue实现后台管理系统的开发项目源代码
07-08
综上所述,这个项目通过整合SpringBoot的强大后端能力、SpringSecurity的安全保障以及Vue.js的高效前端开发,构建了一个功能完善、安全性高的后台管理系统。这样的组合既满足了业务需求,又兼顾了开发效率和应用性能...
spring-security多登录页面配置
09-17
本文将详细介绍如何在Spring Security框架下配置多登录页面,包括前台与后台用户的分开登录界面,以及注销登录后返回到不同的页面等功能。 #### 一、Spring Security简介 Spring SecuritySpring家族中的一个子...
spring-security多个登录页面配置
09-17
Spring Security框架中实现多个登录页面的配置是一项高级特性,主要应用于区分前端用户与后端管理员的不同登录需求。本文将详细介绍如何通过Spring Security配置多个登录页面,并为不同类型的用户设置不同的登录...
SSM下的日志记录功能实现】在后台数据管理系统中进行AOP日志记录
热门推荐
ATFWUS的博客
05-13 1万+
基于SSM环境下进行AOP日志的记录,完成存入数据库,取出展示所有数据的需求。
SSM整合学习】日志记录实现
weixin_43287478的博客
11-20 741
1.保存日志的实现 1.定义Logaop类 @Component @Aspect public class LogAop { @Autowired private HttpServletRequest request; @Autowired private ISysLogService sysLogService; private Date visit...
ssm框架,利用Spring AOP实现行为日志记录
qq_41606400的博客
12-30 478
Spring AOP 行为日志记录
SpringSecurity权限管理系统实战—三、主要页面及接口实现
CoderMy的博客
07-14 5753
前言 后端五分钟,前端半小时。。 每次写到前端都头疼。 自己写前端是不可能的,这辈子不可能自己写前端的,只能找找别人的模板才能维持的了生存这样子。github,gitee上的模板又多,帮助文档又详细,我超喜欢这两个平台的。
Spring Security学习 页面端标签控制权限控制
weixin_46539792的博客
04-19 379
Spring Security学习 页面端标签控制权限控制1.导入2.常用标签2.1 authenticatio2.2 authorize2.3 accesscontrollist 在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制 1.导入 maven中引入依赖坐标 <dependency> <groupId>org.spring...
Spring Security控制权限
Rk的博客
10-28 3773
一 、认识SpringSecurity Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理。 记住几个类: WebSecurityConfigurerAdapter: 自定义Security策略 ...
权限想要细化到按钮,怎么做?
江南一点雨的专栏
06-22 2874
首先小伙伴们都知道权限有不同的颗粒度,在 vhr 项目中,整体上我是基于请求地址去处理权限的,这个粒度算粗还是算细呢?有的小伙伴们可能认为这个权限粒度太粗,所谓细粒度的权限应该是基于按钮的。如果有小伙伴们做过前后端不分的开发,应该会有这样的体会:在 Shiro 或者 Spring Security 框架中,都提供了一些标签,通过这些标签可以做到在满足某种角色或者权限的情况下,显示某个按钮;当用户不具备某种角色或者权限的时候,按钮则会自动隐藏起来。但是大家想想,按钮的显示与隐藏不过是前端页面为了提高用户体验而
Spring Security 3.0:身份验证与授权深度解析
4. **后台处理器**:在访问控制完成后,FilterSecurityInterceptor负责调用后台处理器,比如检查用户是否有权访问返回的对象,或者修改返回值以符合安全策略,确保用户只能看到特定属性。 Spring Security3 中主要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值