在项目中使用Spring Security进行权限控制

Posted 2023-03-09

参考技术A 1：导入Spring Security环境
（1）pom.xml中添加依赖
（2）web.xml添加代理过滤器
2：实现认证和授权
（1）认证：SpringSecurityUserService.java
（2）创建Service类、Dao接口类、Mapper映射文件
（3）springmvc.xml（dubbo注解扫描范围扩大）
（4）spring-security.xml
（5）springmvc.xml（导入spring-security.xml）
（6）TravelItemController类（@PreAuthorize("hasAuthority('CHECKITEM_ADD')"):完成权限）
（7）travelitem.html（如果没有权限，可以提示错误信息）
（8）导入login.html测试登录
3：显示用户名
4：用户退出

【路径】
1：pom.xml导入坐标
2：web.xml添加代理过滤器

在父工程的pom.xml中导入Spring Security的maven坐标

在meinian_web工程的web,xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy

在meinian_web工程中按照Spring Security框架要求提供SpringSecurityUserService，并且实现UserDetailsSercice接口

创建UserService服务接口、服务实现类、Dao接口、Mapper映射文件
【路径】
1：UserService.java 接口
2：UserServiceImpl.java 类
3：UserDao.java（使用用户id查询用户）
4：RoleDao.java （使用用户id查询角色集合）
5：PermissionDao.java（使用角色id查询权限集合）
6：UserDao.xml（使用用户id查询用户）
7：RoleDao.xml（使用用户id查询角色集合）
8：PermissionDao.xml (使用角色id查询权限集合)

使用debug跟踪调试，查看user

修改meinian_web工程中的springmvc.xml文件，修改dubbo批量扫描的包路径
之前的扫描包

现在的扫描包

此处原来扫描的包为com.atguigu.controller，现在改为com.atguigu包的目的是需要将我们上面定义的SpringSecurityUserService也扫描到，因为在SpringSecurityUserService的loadUserByUsername方法中需要通过dubbo远程调用名称为UserService的服务

【路径】
1：定义哪些链接可以放行
2：定义哪些链接不可以方向，即需要有角色、权限才可以放行
3：认证管理，定义登录账号和密码，并授权访问的角色、权限
4：设置在页面可以通过iframe访问受保护的页面，默认为不允许默认访问，需要添加security:frame-optionspolicy=”SAMEORIGIN“
【讲解】
在meinian_web工程中提供spring-security.xml配置文件

在spring-security.xml中添加
放置到 <security:http auto-config="true" use-expressions="true"> 里面

因为我们在main.html中定义: 如果不配置springSecurity 会认为iframe访问的html页面时受保护的页面，不允许访问。

在springmvc,xml文件中引入spring-security.xml文件

在Controller的方法上加入权限 控制注解，此处以TravelItemController为例

添加页面，没有权限时提示信息设置
1.在<security:http>标签中增加<security:access-denied-handler>

2.增加自定义处理类

3.增加/pages/error/403.html页面

【路径】
1：引入js
2：定义username属性
3：使用钩子函数，调用ajax，查询登录用户(从SpringSecurity中获取)，复制username属性
4：修改页面，使用username显示用户信息
【讲解】
前面我们已经完成了认证和授权操作，如果用户认证成功后需要在页面显示当前用户的用户名，Spring Security在认证成功后会将用户信息保存到框架提供的上下文对象中，所以此处我们就可以调用Spring Security框架提供的api获取当前用户的username 并展示到页面上
实现步骤：
第一步：在mian.html页面中修改，定义username模型数据基于VUE的数据展示用户名，发送Ajax请求获取username
(1)：引入js

(2)：定义username属性
(3)：使用钩子函数，调用ajax
(4)：修改页面
显示当前登录人

【路径】
1：在main,html中提供的退出菜单上加入超链接
2：在Spring-security.xml文件中配置
【讲解】
第一步：在main.html中提供的退出菜单上加入超链接

第二步：在Spring-security.xml文件中配置