Java学习Day54:初遇萍萍(权限控制)
1.权限控制
1.1 导入Spring Security环境
pom:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>web.xml:在health_backend工程的web.xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy
<!--委派过滤器,用于整合其他框架-->
<filter>
<!--整合spring security时,此过滤器的名称固定springSecurityFilterChain-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>1.2 实现认证和授权
第一步:
在health_backend工程中按照Spring Security框架要求提供SpringSecurityUserService,并且实现UserDetailsService接口
登陆对比
public class UserSecuritys implements UserDetailsService {
@Autowired
private BCryptPasswordEncoder bCrypt;
@Autowired
UserService userService;
private Map<String, User> map = new HashMap<>();
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//根据登录用户名,查询用户数据,获取User对象
User user = userService.queryUserByUsername(username);
System.out.println(username);
//user对象是空值,没有查询到当前的用户名
if (user == null) {
return null;
}
user = userService.queryUserRolePermission(user);
//List集合存储当前账户的角色和权限
List<GrantedAuthority> authorityList = new ArrayList<>();
Set<Role> roles = user.getRoles();
//遍历角色集合,取出权限
for (Role role : roles){
authorityList.add(new SimpleGrantedAuthority( role.getKeyword()));
Set<Permission> permissions = role.getPermissions();
//遍历权限集合
for (Permission permission : permissions){
//权限关键字
authorityList.add(new SimpleGrantedAuthority(permission.getKeyword()));
}
}
System.out.println("authorityList = " + authorityList);
return new org.springframework.security.core.userdetails.User(username,user.getPassword(),authorityList);
}
}
List<GrantedAuthority> authorityList = new ArrayList<>();是固定格式
新建储存权限的列表
new SimpleGrantedAuthority(...)
springsecuroty中的一个类,可以接收String类的字符串成为其权限标识符,循环遍历role列表既可以将所有角色关键字放进权限列表
Set<Permission> permissions = role.getPermissions();
for (Permission permission : permissions){
//权限关键字
authorityList.add(new SimpleGrantedAuthority(permission.getKeyword()));
}
遍历role列表时,内循环遍历role的每一种权限,并将权限方进
对于每一个 Permission 对象,调用 permission.getKeyword() 获取其关键字(通常是权限名称),然后创建一个新的 SimpleGrantedAuthority 对象并添加到 authorityList 中。这表示当前用户还拥有该权限。
这段代码的整体功能是:
- 遍历每个角色,将每个角色的名称作为一个权限添加到
authorityList。 - 对于每个角色,进一步遍历其对应的权限,并将这些权限也添加到
authorityList中。
这种做法常用于 Spring Security 中,尤其是在实现基于角色的访问控制时。通过将角色和权限整理成
GrantedAuthority对象,可以方便地在认证和授权过程中使用。最终,authorityList可以被用来为用户生成相应的安全上下文,以确保用户只能访问其被授权的资源。
这一步主要内容是得到前端username对应的password以及权限列表,封装成userDetails并返回,springsecurity框架会自动判断;
第二步:
创建UserService服务接口、服务实现类、Mapper接口、Mapper映射文件等,都是为了获取前端传来的username账号的信息;
第三步:
在health_backend工程中提供spring-security.xml配置文件
<!--
http:用于定义相关权限控制
指定哪些资源不需要进行权限校验,可以使用通配符
-->
<security:http security="none" pattern="/js/**" />
<security:http security="none" pattern="/css/**" />
<security:http security="none" pattern="/img/**" />
<security:http security="none" pattern="/plugins/**" />intercept-url:定义一个拦截规则;
pattern:对哪些url进行权限控制
access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
isAuthenticated():已经经过认证(不是匿名用户)
配置开放权限,必须加后的/**,不然访问不了下属权限,等于没开
<!--配置拦截-->
<security:http auto-config="true" use-expressions="true">
<!--pages文件夹中的页面,登录成功,就可以访问-->
<security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>
<!--配置controller层,请求自定义访问规则-->
<security:intercept-url pattern="/CheckGroup/**" access="permitAll()"/>
<security:intercept-url pattern="/CheckItem/**" access="permitAll()"/>
<security:intercept-url pattern="/ordersetting/**" access="permitAll()"/>
<security:intercept-url pattern="/setMeal/**" access="permitAll()"/>
<security:intercept-url pattern="/user/**" access="permitAll()"/>
<security:intercept-url pattern="/report/**" access="permitAll()"/>
<!--配置自己的登录页面-->
<security:form-login login-page="/login.html" username-parameter="username"
password-parameter="password" login-processing-url="/login2.do"
default-target-url="/pages/main.html" authentication-failure-url="/login.html"/>
<!--登录退出页面-->
<security:logout invalidate-session="true" logout-success-url="/login.html" logout-url="/loginOut.do" />
<security:session-management>
<security:concurrency-control max-sessions="1" expired-url="/error.html"/>
</security:session-management>
<security:headers>
<!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
<security:frame-options policy="SAMEORIGIN"></security:frame-options>
</security:headers>
<security:csrf disabled="true"/>
</security:http>分块解释
<security:intercept-url pattern="/pages/**" access="isAuthenticated()" />
<!--form-login:定义表单登录信息-->
<security:form-login login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/pages/main.html"
always-use-default-target="true"
authentication-failure-url="/login.html"
/>-
login-page="/login.html":- 这个属性指定了登录页面的 URL。当用户未认证访问受保护的资源时,Spring Security 会将其重定向到这个登录页面。
-
username-parameter="username":- 这个属性定义了登录表单中用户名字段的名称。在此示例中,表单应该有一个名为
username的输入字段。
- 这个属性定义了登录表单中用户名字段的名称。在此示例中,表单应该有一个名为
-
password-parameter="password":- 这个属性定义了登录表单中密码字段的名称。在此示例中,表单应该有一个名为
password的输入字段。
- 这个属性定义了登录表单中密码字段的名称。在此示例中,表单应该有一个名为
-
login-processing-url="/login.do":- 这个属性指定了处理登录请求的 URL。当用户提交登录表单时,Spring Security 会向这个 URL 发送 POST 请求进行身份验证。
-
default-target-url="/pages/main.html":- 这个属性定义了用户成功登录后重定向的目标 URL。成功认证后,用户将被带到
/pages/main.html。
- 这个属性定义了用户成功登录后重定向的目标 URL。成功认证后,用户将被带到
-
always-use-default-target="true":- 这个属性指示在用户登录后总是重定向到默认目标 URL,而不考虑原始请求的 URL。这在需要统一重定向目标的情况下很有用。
-
authentication-failure-url="/login.html":- 这个属性定义了当登录失败时的重定向 URL。如果用户提供了无效的用户名或密码,系统会将其重定向回登录页面
/login.html。
- 这个属性定义了当登录失败时的重定向 URL。如果用户提供了无效的用户名或密码,系统会将其重定向回登录页面
<security:headers>
<!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
<security:frame-options policy="SAMEORIGIN"></security:frame-options>
</security:headers><!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,
否则登录操作会被禁用(403)
-->
<security:csrf disabled="true"></security:csrf> <!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" /> <!--认证管理器,用于处理认证操作-->
<security:authentication-manager>
<!--认证提供者,执行具体的认证逻辑-->
<security:authentication-provider user-service-ref="springSecurityUserService">
<!--指定密码加密策略-->
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager> <!--开启权限验证的注解驱动-->
<security:global-method-security pre-post-annotations="enabled"/>第四步:
在Controller的方法上加入权限控制注解,此处以CheckItemController为例
/**
* 体检检查项管理
*/
@RestController
@RequestMapping("/checkitem")
public class CheckItemController {
@Autowired
private CheckItemService checkItemService;
//分页查询
@PreAuthorize("hasAuthority('CHECKITEM_QUERY')")//权限校验
@RequestMapping("/findPage")
public PageResult findPage(@RequestBody QueryPageBean queryPageBean){
PageResult pageResult = checkItemService.pageQuery(
queryPageBean.getCurrentPage(),
queryPageBean.getPageSize(),
queryPageBean.getQueryString());
return pageResult;
}
//删除
@PreAuthorize("hasAuthority('CHECKITEM_DELETE')")//权限校验
@RequestMapping("/delete")
public Result delete(Integer id){
try {
checkItemService.delete(id);
}catch (RuntimeException e){
return new Result(false,e.getMessage());
}catch (Exception e){
return new Result(false, MessageConstant.DELETE_CHECKITEM_FAIL);
}
return new Result(true,MessageConstant.DELETE_CHECKITEM_SUCCESS);
}
//新增
@PreAuthorize("hasAuthority('CHECKITEM_ADD')")//权限校验
@RequestMapping("/add")
public Result add(@RequestBody CheckItem checkItem){
try {
checkItemService.add(checkItem);
}catch (Exception e){
return new Result(false,MessageConstant.ADD_CHECKITEM_FAIL);
}
return new Result(true,MessageConstant.ADD_CHECKITEM_SUCCESS);
}
//编辑
@PreAuthorize("hasAuthority('CHECKITEM_EDIT')")//权限校验
@RequestMapping("/edit")
public Result edit(@RequestBody CheckItem checkItem){
try {
checkItemService.edit(checkItem);
}catch (Exception e){
return new Result(false,MessageConstant.EDIT_CHECKITEM_FAIL);
}
return new Result(true,MessageConstant.EDIT_CHECKITEM_SUCCESS);
}
}@PreAuthorize("hasAuthority('CHECKITEM_ADD')")//权限校验
可以使用hasAuthority或者hasRole
第五步:
修改页面,没有权限时提示信息设置,此处以checkitem.html中的handleDelete方法为例
//权限不足提示
showMessage(r){
if(r == 'Error: Request failed with status code 403'){
//权限不足
this.$message.error('无访问权限');
return;
}else{
this.$message.error('未知错误');
return;
}
}// 删除
handleDelete(row) {
this.$confirm('此操作将永久当前数据,是否继续?', '提示', {
type: 'warning'
}).then(()=>{
//点击确定按钮执行此代码
axios.get("/checkitem/delete.do?id=" + row.id).then((res)=> {
if(!res.data.flag){
//删除失败
this.$message.error(res.data.message);
}else{
//删除成功
this.$message({
message: res.data.message,
type: 'success'
});
this.findPage();
}
}).catch((r)=>{
this.showMessage(r);
});
}).catch(()=> {
//点击取消按钮执行此代码
this.$message('操作已取消');
});
}1.3 用户退出
第一步:在main.html中提供的退出菜单上加入超链接
<el-dropdown-item divided>
<span style="display:block;"><a href="/logout.do">退出</a></span>
</el-dropdown-item>第二步:在spring-security.xml文件中配置
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>