一.权限控制
1.1 认证和授权概念
问题1:在生产环境下我们如果不登录后台系统就可以完成这
些功能操作吗?
答案显然是否定的,要操作这些功能必须首先登录到系统才可
以。
问题2:是不是所有用户,只要登录成功就都可以操作所有功
能呢?
答案是否定的,并不是所有的用户都可以操作这些功能。不同
的用户可能拥有不同的权限,这就需要进行授权了。
认证:系统提供的用于识别用户身份的功能,通常提供用户名
和密码进行登录其实就是在进行认证,认证的目的是让系统知
道你是谁。
授权:用户认证成功后,需要为用户授权,其实就是指定当前
用户可以操作哪些功能。
1.2 权限模块数据模型
前面已经分析了认证和授权的概念,要实现最终的权限控制,
需要有一套表结构支撑:
用户表t_user、权限表t_permission、角色表t_role、菜单表
t_menu、用户角色关系表t_user_role、角色权限关系表
t_role_permission、角色菜单关系表t_role_menu。
表之间关系如下图:
通过上图可以看到,权限模块共涉及到7张表。在这7张表
中,角色表起到了至关重要的作用,其处于核心位置,因为用
户、权限、菜单都和角色是多对多关系。
接下来我们可以分析一下在认证和授权过程中分别会使用到哪
些表:
授权过程:用户必须完成认证之后才可以进行授权,首先可以
根据用户查询其角色,再根据角色查询对应的菜单,这样就确
定了用户能够看到哪些菜单。然后再根据用户的角色查询对应
的权限,这样就确定了用户拥有哪些权限。所以授权过程会用
到上面7张表。
1.3 Spring Security简介
Spring Security是 Spring提供的安全认证服务的框架。使用
Spring Security可以帮助我们来简化认证和授权的过程。
常用的权限框架除了Spring Security,还有Apache的shiro框
架。
二.Spring Security入门案例
2.1 工程搭建
创建maven工程,打包方式为war。提供index.html页面,内
容为hello Spring Security!!
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/
4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>org.example</groupId>
<artifactId>demo01</artifactId>
<version>1.0-SNAPSHOT</version>
<packaging>war</packaging><dependencies>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.1.5.RELEASE</version>
</dependency><dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>5.1.5.RELEASE</version>
</dependency><dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>5.1.6.RELEASE</version>
</dependency><dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>4.0.1</version>
<scope>provided</scope>
</dependency></dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-
plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>8080</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
2.2 配置web.xml
在web.xml中主要配置SpringMVC的DispatcherServlet和用
于整合第三方框架的DelegatingFilterProxy,用于整合Spring
Security。
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/
javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"version="4.0">
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener><context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param><filter>
<!--
DelegatingFilterProxy用于整合第三方框架
整合Spring Security时过滤器的名称必须为
springSecurityFilterChain,
否则会抛出NoSuchBeanDefinitionException
异常
-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter><filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
2.3 配置spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans
xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--
auto-config:是否自动配置
设置为true时框架会提供默认的一些配
置,例如提供默认的登录页面、登出处理等
设置为false时需要显示提供登录表单配
置,否则会报错
use-expressions:是否使用spring
security提供的表达式来描述权限
-->
<security:http auto-config="true" use-
expressions="true">
<!--
intercept-url:定义一个拦截规则
pattern:描述拦截规则 /** 表示拦截
所有请求
asscess:指定所需的访问角色或者访问权
限
-->
<security:intercept-url
pattern="/**" access="hasAnyRole('ROLE_ADMIN')">
</security:intercept-url>
</security:http>
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider>
<!-- 配置一个具体的用户,后期需要从数
据库查询用户-->
<security:user-service>
<security:user name="admin"
password="{noop}123456"
authorities="ROLE_ADMIN"></security:user>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>2.4 入门案例改进
前面我们已经完成了Spring Security的入门案例,通过入门案
例我们可以看到,Spring Security将我们项目中的所有资源都
保护了起来,要访问这些资源必须要完成认证而且需要具有
ROLE_ADMIN角色。但是入门案例中的使用方法离我们真实
生产环境还差很远,还存在如下一些问题:
*项目中我们将所有的资源(所有请求URL)都保护起来,
实际环境下往往有一些资源不需要认证也可以访问,也就
是可以匿名访问。
* 登录页面是由框架生成的,而我们的项目往往会使用自己
的登录页面。
*直接将用户名和密码配置在了配置文件中,而真实生产环
境下用户名和密码往往保存在数据库中
*在配置文件中配置的密码使用明文,这非常不安全,而真
实生产环境下密码需要进行加密。
三.案例改进
3.1 配置可匿名访问的资源
第一步:在项目中创建pages目录,在pages目录中创建
a.html和b.html
第二步:在spring-security.xml文件中配置,指定哪些资源可
以匿名访问
第三步:通过上面的配置可以发现,pages目录下的文件可以
在没有认证的情况下任意访问。
<!--
配置哪些资源匿名可以访问(不登录也可以访
问)
指定哪些资源不需要进行权限校验,可以使用通
配符
-->
<!-- <security:http security="none"
pattern="/pages/a.html"></security:http>-->
<!-- <security:http security="none"
pattern="/pages/b.html"></security:http>-->
<security:http security="none"
pattern="/pages/**"></security:http>
3.2 使用指定的登录页面
第一步:提供login.html作为项目的登录页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录页面</title>
</head>
<body>
<h3>自定义登录页面</h3>
<form action="/login" method="post">
username:<input type="text"name="username"><br>
password:<input type="password"name="password"><br>
<input type="submit" value="登录">
</form>
</body>
</html>第二步:修改spring-security.xml文件,指定login.html页
面可以匿名访问
<security:http security="none" pattern="/login.html" />第三步:修改spring-security.xml文件,加入表单登录信
息的配置
<security:http auto-config="true" use-expressions="true"><!--
intercept-url:定义一个拦截规则
pattern:描述拦截规则 /** 表示拦截
所有请求
asscess:指定所需的访问角色或者访问权
限
-->
<security:intercept-url
pattern="/**" access="hasAnyRole('ROLE_ADMIN')">
</security:intercept-url>
<!--
如果我们要使用自己指定的页面作为登录页面,
必须配置登录表单.页面提交的登录表单请求是由框架负责处理
login-page:指定登录页面访问URL
-->
<security:form-login
login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login"
default-target-url="/index.html"
authentication-failure-url="/login.html"></security:form-login>
<!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤
器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁
用(403)
-->
<security:csrf disabled="true">
</security:csrf>
</security:http>3.3 从数据库查询用户信息
如果我们要从数据库动态查询用户信息,就必须按照spring
security框架的要求提供一个实现UserDetailsService接口的
实现类,并按照框架的要求进行配置即可。框架会自动调用实
现类中的方法并自动进行密码校验。
实体类:
public class Emp {
private String username;
private String password;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}实现类:
public class EmpService implements
UserDetailsService {
public Map<String, Emp> map=new HashMap<>
();//模拟数据库中的数据
public void initData(){
Emp emp1=new Emp();
emp1.setUsername("admin");
emp1.setPassword("123456");
Emp emp2=new Emp();
emp2.setUsername("xiaoming");
emp2.setPassword("123456");
map.put(emp1.getUsername(),emp1);
map.put(emp2.getUsername(),emp2);
}
@Override
public UserDetails loadUserByUsername(String
username) throws UsernameNotFoundException {
initData();
System.out.println("username="+username);
Emp emp = map.get(username);//模拟根据用户名查询员工信息
if(emp==null){
//用户不存在
return null;
}else{
//将用户信息返回给框架
//框架会进行密码比对(页面提交的密码和数据库查询的密码进行比对)
List<GrantedAuthority> list=new
ArrayList<>();
//为当前用户授权 后期需要改为从数据库查询当前用户对应的权限
list.add(new
SimpleGrantedAuthority("permission_A"));//授权
list.add(new
SimpleGrantedAuthority("permission_B"));//授权
if(username.equals("admin")){
list.add(new
SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
}
User securityUser=new
User(username,"{noop}"+emp.getPassword(),list);
return securityUser;
}
}
}
spring-security.xml:
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider
user-service-ref="empService">
<!-- 配置一个具体的用户,后期需要从数
据库查询用户-->
<!-- <security:user-service>-->
<!-- <security:user
name="admin" password="{noop}123456"
authorities="ROLE_ADMIN"></security:user>-->
<!-- </security:user-service>-->
</security:authentication-provider>
</security:authentication-manager>
<bean id="empService" class="com.lzw.service.EmpService"></bean>我们提供了UserService实现类,并且按照框架的要求实现了
UserDetailsService接口。在spring配置文件中注册
UserService,指定其作为认证过程中根据用户名查询用户信
息的处理类。当我们进行登录操作时,spring security框架会
调用UserService的loadUserByUsername方法查询用户信
息,并根据此方法中提供的密码和用户页面输入的密码进行比
对来实现认证操作。
3.4 对密码加密
前面我们使用的密码都是明文的,这是非常不安全的。一般情
况下用户的密码需要进行加密后再保存到数据库中。
常见的密码加密方式有:
3DES、AES、DES:使用对称加密算法,可以通过解密来还原
出原始密码
MD5、SHA1:使用单向HASH算法,无法通过计算还原出原
始密码,但是可以建立彩虹表进行查表破解
bcrypt:将salt随机并混入最终加密后的密码,验证时也无需
单独提供之前的salt,从而无需单独处理salt问题
加密后的格式一般为:
第一步:在spring-security.xml文件中指定密码加密对象、
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider
user-service-ref="empService">
<!-- 配置一个具体的用户,后期需要从数
据库查询用户-->
<!-- <security:user-service>-->
<!-- <security:user
name="admin" password="{noop}123456"
authorities="ROLE_ADMIN"></security:user>-->
<!-- </security:user-service>-->
<!--指定度密码进行加密的对象-->
<security:password-encoder ref="passwordEncoder"></security:password-encoder>
</security:authentication-provider>
</security:authentication-manager>
<bean id="empService"class="com.lzw.service.EmpService"></bean>
<!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
<!--开启spring注解使用-->
<context:annotation-config>
</context:annotation-config>第二步:修改UserService实现类
public class EmpService implements
UserDetailsService {
@Autowired
private BCryptPasswordEncoder
passwordEncoder;
public Map<String, Emp> map=new HashMap<>
();//模拟数据库中的数据
public void initData(){
Emp emp1=new Emp();
emp1.setUsername("admin");
emp1.setPassword(passwordEncoder.encode("123456"
));
Emp emp2=new Emp();
emp2.setUsername("xiaoming");
emp1.setPassword(passwordEncoder.encode("123456"
));
map.put(emp1.getUsername(),emp1);
map.put(emp2.getUsername(),emp2);
}
@Override
public UserDetails loadUserByUsername(String
username) throws UsernameNotFoundException {
initData();
System.out.println("username="+username);
Emp emp = map.get(username);//模拟根据用户名查询员工信息
if(emp==null){
//用户不存在
return null;
}else{
//将用户信息返回给框架
//框架会进行密码比对(页面提交的密码和数据库查询的密码进行比对)
List<GrantedAuthority> list=new
ArrayList<>();
//为当前用户授权 后期需要改为从数据库查询当前用户对应的权限
list.add(new
SimpleGrantedAuthority("permission_A"));//授权
list.add(new
SimpleGrantedAuthority("permission_B"));//授权
if(username.equals("admin")){
list.add(new
SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
}
User securityUser=new
User(username,emp.getPassword(),list);
return securityUser;
}
}
}3.5 配置多种校验规则
为了测试方便,首先在项目中创建a.html、b.html、c.html、
d.html几个页面
修改spring-security.xml文件:
<security:http auto-config="true" use-expressions="true">
<!--
intercept-url:定义一个拦截规则
pattern:描述拦截规则 /** 表示拦截
所有请求
asscess:指定所需的访问角色或者访问权
限
-->
<!--只要认证通过就可以访问-->
<security:intercept-url
pattern="/pages/a.html"access="isAuthenticated()" />
<!--拥有add权限就可以访问b.html页面-->
<security:intercept-url
pattern="/pages/b.html"access="hasAuthority('add')" />
<!--拥有ROLE_ADMIN角色就可以访问c.html
页面-->
<security:intercept-url
pattern="/pages/c.html"
access="hasRole('ROLE_ADMIN')" />
<!--拥有ROLE_ADMIN角色就可以访问d.html
页面,
注意:此处虽然写的是ADMIN角色,框架会
自动加上前缀ROLE_-->
<security:intercept-url
pattern="/pages/d.html"
access="hasRole('ADMIN')" />
<security:intercept-url
pattern="/**" access="hasAnyRole('ROLE_ADMIN')">
</security:intercept-url>
<!--
如果我们要使用自己指定的页面作为登录页面,
必须配置登录表单.页面提交的登录表单请求是由框架负责处理
login-page:指定登录页面访问URL
-->
<security:form-login
login-page="/login.html"
username-
parameter="username"
password-
parameter="password"
login-processing-url="/login"
default-target-url="/index.html"
authentication-failure-url="/login.html"></security:form-login>
<!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤
器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁
用(403)
-->
<security:csrf disabled="true">
</security:csrf>
</security:http>
3.6 注解方式权限控
第一步:在spring-security.xml文件中配置组件扫描,用于扫
描Controller
<!--开启spring注解使用-->
<context:annotation-config></context:annotation-config>
<mvc:annotation-driven></mvc:annotation-driven>
<context:component-scan base-package="com.lzw.controller">
</context:component-scan>第二步:在spring-security.xml文件中开启权限注解支持
<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />第三步:创建Controller类并在Controller的方法上加入注解
进行权限控制
@RestController
@RequestMapping("/emp")
public class EmpController {
@RequestMapping("/add")
@PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
public String add(){
System.out.println("add...");
return "success";
}
@RequestMapping("/delete")
@PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
public String delete(){
System.out.println("delete...");
return "success";
}
}3.7 退出登录
用户完成登录后Spring Security框架会记录当前用户认证状态
为已认证状态,即表示用户登录成功了。那用户如何退出登录
呢?我们可以在spring-security.xml文件中进行如下配置:
<security:http auto-config="true" use-expressions="true">
<!--
intercept-url:定义一个拦截规则
pattern:描述拦截规则 /** 表示拦截所有请求
asscess:指定所需的访问角色或者访问权限
-->
<!--只要认证通过就可以访问-->
<security:intercept-url
pattern="/pages/a.html"
access="isAuthenticated()" />
<!--拥有add权限就可以访问b.html页面-->
<security:intercept-url
pattern="/pages/b.html"
access="hasAuthority('add')" />
<!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
<security:intercept-url
pattern="/pages/c.html"
access="hasRole('ROLE_ADMIN')" />
<!--拥有ROLE_ADMIN角色就可以访问d.html页面,
注意:此处虽然写的是ADMIN角色,框架会自动加上前
缀ROLE_-->
<security:intercept-url
pattern="/pages/d.html"
access="hasRole('ADMIN')" />
<security:intercept-url pattern="/**"
access="hasAnyRole('ROLE_ADMIN')">
</security:intercept-url>
<!--
如果我们要使用自己指定的页面作为登录页面,必须配置登
录表单.页面提交的登录表单请求是由框架负责处理
login-page:指定登录页面访问URL
-->
<security:form-login
login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login"
default-target-url="/index.html"
authentication-failure-
url="/login.html"></security:form-login>
<!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤器,如果使用
自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
-->
<security:csrf disabled="true">
</security:csrf>
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout"
logout-success-
url="/login.html" invalidate-session="true"/>
</security:http>通过上面的配置可以发现,如果用户要退出登录,只需要请
求/logout.do这个URL地址就可以,同时会将当前session失
效,最后页面会跳转到login.html页面。
)
