安全框架与商家入驻审核

Posted 2020-11-18 yan562474129

 

 

 

 

 

 

安全框架与商家入驻审核

课程目标

目标1：实现SpringSecurity入门小Demo

目标2：完成运营商登陆与安全控制功能

目标3：完成商家入驻

目标4：完成商家审核

目标5：完成商家系统登陆与安全控制功能

1.Spring Security框架入门

1.1 Spring Security简介

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

1.2 Spring Security入门小Demo

1.2.1最简单Demo

（1）创建工程spring-security-demo ,pom.xml内容

<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">     <modelVersion>4.0.0</modelVersion>     <groupId>com.itheima</groupId>     <artifactId>spring_security_demo</artifactId>     <version>1.0-SNAPSHOT</version>     <packaging>war</packaging>     <properties>         <spring.version>4.2.4.RELEASE</spring.version>     </properties>     <dependencies>         <dependency>             <groupId>org.springframework</groupId>             <artifactId>spring-core</artifactId>             <version>${spring.version}</version>         </dependency>         <dependency>             <groupId>org.springframework</groupId>             <artifactId>spring-web</artifactId>             <version>${spring.version}</version>         </dependency>         <dependency>             <groupId>org.springframework</groupId>             <artifactId>spring-webmvc</artifactId>             <version>${spring.version}</version>         </dependency>         <dependency>             <groupId>org.springframework</groupId>             <artifactId>spring-context-support</artifactId>             <version>${spring.version}</version>         </dependency>         <dependency>             <groupId>org.springframework</groupId>             <artifactId>spring-test</artifactId>             <version>${spring.version}</version>         </dependency>         <dependency>             <groupId>org.springframework</groupId>             <artifactId>spring-jdbc</artifactId>             <version>${spring.version}</version>         </dependency>         <dependency>             <groupId>org.springframework.security</groupId>             <artifactId>spring-security-web</artifactId>             <version>4.1.0.RELEASE</version>         </dependency>         <dependency>             <groupId>org.springframework.security</groupId>             <artifactId>spring-security-config</artifactId>             <version>4.1.0.RELEASE</version>         </dependency>         <dependency>             <groupId>javax.servlet</groupId>             <artifactId>servlet-api</artifactId>             <version>2.5</version>             <scope>provided</scope>         </dependency>     </dependencies>     <build>         <plugins>             <plugin>                 <groupId>org.apache.tomcat.maven</groupId>                 <artifactId>tomcat7-maven-plugin</artifactId>                 <configuration>                     <!-- 指定端口 -->                     <port>9090</port>                     <!-- 请求路径 -->                     <path>/</path>                 </configuration>             </plugin>         </plugins>     </build> </project>

（2）创建web.xml

<!DOCTYPEweb-appPUBLIC         "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"         "http://java.sun.com/dtd/web-app_2_3.dtd" > <web-app>     <display-name>spring-security-demo</display-name>     <context-param>         <param-name>contextConfigLocation</param-name>         <param-value>classpath:spring-security.xml</param-value>     </context-param>     <!--springSecurity过滤器配置-->     <filter>         <!--注意，这里的name必须是springSecurityFilterChain-->         <filter-name>springSecurityFilterChain</filter-name>         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>     </filter>     <filter-mapping>         <filter-name>springSecurityFilterChain</filter-name>         <url-pattern>/*</url-pattern>     </filter-mapping>     <!--spring容器启动-->     <listener>         <listener-class>             org.springframework.web.context.ContextLoaderListener         </listener-class>     </listener> </web-app>

（3）创建index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>spring security 入门</title>
</head>
<body>
<h1>Hello Spring Security....</h1>
</body>
</html>

 

（4）创建spring 配置文件spring-security.xml

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security"              xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"              xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd                   http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">     <!-- 页面拦截规则 -->     <!--use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），         默认为true ,如果开启，则拦截的配置应该写成以下形式: access="hasRole(‘ROLE_USER‘)"-->     <http use-expressions="false">         <!--intercept-url 表示拦截页面             /*  表示的是该目录下的资源，只包括本级目录不包括下级目录             /** 表示的是该目录以及该目录下所有级别子目录的资源             access:这里必需是ROLE_前缀，配置角色的意思         -->         <intercept-url pattern="/**" access="ROLE_USER" />         <!--开启表单登陆功能-->         <form-login/>     </http>     <!-- 认证管理器 -->     <authentication-manager>         <authentication-provider>             <user-service>                 <!--配置用户名与密码所属角色为ROLE_USER-->                 <user name="admin" password="123456" authorities="ROLE_USER"/>             </user-service>         </authentication-provider>     </authentication-manager> </beans:beans>

此案例我们没有登录页，而是使用了系统自动生成的登陆页，效果如下：

 

配置说明：

intercept-url 表示拦截页面  

/*  表示的是该目录下的资源，只包括本级目录不包括下级目录

/** 表示的是该目录以及该目录下所有级别子目录的资源

form-login  为开启表单登陆

use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），默认为true ,如果开启，则拦截的配置应该写成以下形式

<intercept-url pattern="/**" access="hasRole(‘ROLE_USER‘)" />

 

1.2.2用户自定义登录页

实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。

（1）创建登陆页：

<!DOCTYPE html> <html> <head>     <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">     <title>登陆</title> </head> <body> <!--这里的路径只能写/login，因为spring security默认帮我们生成了登录路径--> <form action=‘/login‘ method=‘POST‘>     <table>         <tr>             <td>用户名:</td>             <td><input type=‘text‘ name=‘username‘ value=‘‘></td>         </tr>         <tr>             <td>密码:</td>             <td><input type=‘password‘ name=‘password‘ /></td>         </tr>         <tr>             <td colspan=‘2‘><input name="submit" type="submit"                                    value="登陆" /></td>         </tr>     </table> </form> </body> </html>

（2）创建登陆失败页  login_error.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录失败</title>
</head>
<body>
<h2>你输入的用户名或者密码不正确!</h2>
</body>
</html>

 

（3）修改 spring 配置文件spring-security.xml 

<!-- 以下页面不被拦截 --> <http pattern="/login.html" security="none"></http> <http pattern="/login_error.html" security="none"></http> <!-- 页面拦截规则 --> <!--use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），     默认为true ,如果开启，则拦截的配置应该写成以下形式: access="hasRole(‘ROLE_USER‘)"--> <http use-expressions="false">     <!--intercept-url 表示拦截页面         /*  表示的是该目录下的资源，只包括本级目录不包括下级目录         /** 表示的是该目录以及该目录下所有级别子目录的资源         access:这里必需是ROLE_前缀，配置角色的意思     -->     <intercept-url pattern="/**" access="ROLE_USER" />     <!--开启表单登陆功能-->     <!--         login-page：配置登录页面         default-target-url：登录成功跳转的页面         authentication-failure-url：登录失败跳转的页面         注意：以下三个地址必须带"/"不然会报错     -->     <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>     <!--关闭csrf ,如果不加会出现403错误-->     <csrf disabled="true"/> </http>

security="none"  设置此资源不被拦截. 
如果你没有设置登录页security="none"  ，将会出现以下错误

 

因为登录页会被反复重定向。

login-page：指定登录页面。
authentication-failure-url：指定了身份验证失败时跳转到的页面。
default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。

csrf disabled="true"  关闭csrf ,如果不加会出现错误

 

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

2.运营商系统登录与安全控制

2.1需求分析

完成运营商登陆功能

 

2.2登陆功能的实现

2.2.1配置文件

（1）修改pinyougou-manager-web的pom.xml ，添加依赖

<!-- 身份验证 --> <dependency>     <groupId>org.springframework.security</groupId>     <artifactId>spring-security-web</artifactId> </dependency> <dependency>     <groupId>org.springframework.security</groupId>     <artifactId>spring-security-config</artifactId> </dependency>

（2）修改web.xml，添加springSecrrity的配置

<!DOCTYPEweb-appPUBLIC         "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"         "http://java.sun.com/dtd/web-app_2_3.dtd" > <web-app>     <context-param>         <param-name>contextConfigLocation</param-name>         <param-value>classpath:spring/spring-security.xml</param-value>     </context-param>     <!--springSecurity过滤器配置-->     <filter>         <!--注意，这里的name必须是springSecurityFilterChain-->         <filter-name>springSecurityFilterChain</filter-name>         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>     </filter>     <!-- 解决post乱码 -->     <filter>         <filter-name>CharacterEncodingFilter</filter-name>         <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>         <init-param>             <param-name>encoding</param-name>             <param-value>utf-8</param-value>         </init-param>         <init-param>             <param-name>forceEncoding</param-name>             <param-value>true</param-value>         </init-param>     </filter>     <filter-mapping>         <filter-name>springSecurityFilterChain</filter-name>         <url-pattern>/*</url-pattern>     </filter-mapping>     <filter-mapping>         <filter-name>CharacterEncodingFilter</filter-name>         <url-pattern>/*</url-pattern>     </filter-mapping>     <!--spring容器启动-->     <listener>         <listener-class>             org.springframework.web.context.ContextLoaderListener         </listener-class>     </listener>     <servlet>         <servlet-name>springmvc</servlet-name>         <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>         <!-- 指定加载的配置文件 ，通过参数contextConfigLocation加载-->         <init-param>             <param-name>contextConfigLocation</param-name>             <param-value>classpath:spring/springmvc.xml</param-value>         </init-param>     </servlet>     <servlet-mapping>         <servlet-name>springmvc</servlet-name>         <url-pattern>*.do</url-pattern>     </servlet-mapping> </web-app>

（3）pinyougou-manager-web的spring目录下添加配置文件spring-security.xml，可以复制之前入门案例的配置来改改

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security"              xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"              xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd                   http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">     <!-- 以下页面不被拦截 -->     <http pattern="/*.html" security="none"></http>     <http pattern="/css/**" security="none"></http>     <http pattern="/img/**" security="none"></http>     <http pattern="/js/**" security="none"></http>     <http pattern="/plugins/**" security="none"></http>     <!-- 页面拦截规则 -->     <!--use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），         默认为true ,如果开启，则拦截的配置应该写成以下形式: access="hasRole(‘ROLE_USER‘)"-->     <http use-expressions="false">         <!--intercept-url 表示拦截页面             /*  表示的是该目录下的资源，只包括本级目录不包括下级目录             /** 表示的是该目录以及该目录下所有级别子目录的资源             access:这里必需是ROLE_前缀，配置角色的意思         -->         <intercept-url pattern="/**" access="ROLE_ADMIN" />         <!--开启表单登陆功能-->         <!--             login-page：配置登录页面             default-target-url：登录成功跳转的页面             authentication-failure-url：登录失败跳转的页面             注意：以下三个地址必须带"/"不然会报错         -->         <form-login login-page="/login.html" default-target-url="/admin/index.html"                     authentication-failure-url="/login.html" always-use-default-target="true"/>         <!--关闭csrf ,如果不加会出现403错误-->         <csrf disabled="true"/>     </http>     <!-- 认证管理器 -->     <authentication-manager>         <authentication-provider>             <user-service>                 <!--配置用户名与密码所属角色为ROLE_USER-->                 <user name="admin" password="123456" authorities="ROLE_ADMIN"/>                 <user name="steven" password="123456" authorities="ROLE_ADMIN"/>             </user-service>         </authentication-provider>     </authentication-manager> </beans:beans>

配置说明：

always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

如果你在系统中使用了框架页，需要在<http>标签中设置框架页的策略为SAMEORIGIN

<!--让springSecurity不拦截iframe--> <headers>     <frame-options policy="SAMEORIGIN"/> </headers>

 

2.2.2修改登录页面

修改pinyougou-manager-web的 login.html

备注：

• action="/login"中的/login地址是springSecurity默认的请求url，这个值可以改，可以配置<form-login>标签中的login-processing-url来改变，一般都不改。
• 表单的用户名的name属性可以通过username-parameter属性指定，一般都不改
• 表单密码的name属性可以通过password-parameter属性指定，一般都不改

 

<form id="loginform" action="/login" method="post"  class="sui-form">     <div class="input-prepend"><span class="add-on loginname"></span>          <input id="prependedInput"  name="username" type="text" placeholder="邮箱/用户名/手机号" class="span2 input-xfat">     </div>     <div class="input-prepend"><span class="add-on loginpwd"></span>          <input id="prependedInput"  name="password" type="password" placeholder="请输入密码" class="span2 input-xfat">     </div>     <div class="setting">          <div id="slider">              <div id="slider_bg"></div>                   <span id="label">>></span> <span id="labelTip">拖动滑块验证</span>              </div>          </div>          <div class="logined">          <a class="sui-btn btn-block btn-xlarge btn-danger" onclick="document:loginform.submit()" target="_blank">登&nbsp;&nbsp;录</a>          </div> </form>

2.3主界面显示登陆人

2.3.1后端代码

在pinyougou-manager-web新建LoginController.java

package com.pinyougou.manager.controller; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import java.util.HashMap; import java.util.Map; /**  * @author steven  * @version 1.0  * @description com.pinyougou.manager.controller  * @date 2018-5-5  */ @RestController @RequestMapping("login") public class LoginController {     @RequestMapping("name")     public Map<String,Object> name(){         //从springSecurity中获取登录名         String name = SecurityContextHolder.getContext().getAuthentication().getName();         Map<String, Object> map = new HashMap<>();         map.put("loginName", name);         return map;     } }

2.3.2前端代码

（1）新建loginService.js

//登录业务逻辑 app.service("loginService",function ($http) {     //读取登录名     this.loginName=function () {         return $http.get("../login/name.do");     } });

（2）新建indexController.js

//indexController app.controller("indexController",function ($scope,loginService) {     //读取登录人信息     $scope.showLoginName=function () {         loginService.loginName().success(function (response) {             $scope.loginName=response.loginName;         })     } });

Index.js页面上引入JS

<script src="../plugins/angularjs/angular.min.js"></script> <script src="../js/base.js"></script> <script src="../js/service/loginService.js"></script> <script src="../js/controller/indexController.js"></script>

指令

<body class="hold-transition skin-green sidebar-mini"  ng-app="pinyougou" ng-controller="indexController" ng-init="showLoginName ()">

 

将页面上的测试用户替换成 {{loginName}}

 

2.4退出登录

在pinyougou-manager-web的spring-security.xml的http节点中添加配置

<logout/>

加此配置后，会自动的产生退出登录的地址/logout,如果你不想用这个地址 ，你也可以定义生成的退出地址以及跳转的页面，配置如下

<logout logout-url="" logout-success-url=""/>

logout-url:退出的地址，会自动生成

logout-success-url:退出后跳转的地址

修改注销的链接

<div class="pull-right">       <a href="../logout" class="btn btn-default btn-flat">注销</a> </div>

 

3.商家申请入驻

3.1需求分析

商家申请入驻，需要填写商家相关的信息。待运营商平台审核通过后即可使用使用。

3.2准备工作

（1）拷贝资源： 将“资源/静态原型/商家管理后台”下的页面拷贝到pinyougou-shop-web工程建议使用idea的Show In Explorer功能。

 

 

（2）参照“运营商后台”构建js

 

（3）拷贝后端控制层代码

 

3.3前端代码

修改register.html 引入JS

<script src="plugins/angularjs/angular.min.js"></script> <script src="js/base.js"></script> <script src="js/services/sellerService.js"></script> <script src="js/controller/baseController.js"></script> <script src="js/controller/sellerController.js"></script>

指令

<body ng-app="pinyougou" ng-controller="sellerController">

绑定表单（部分代码）

<div class="control-group">          <label class="control-label">登陆名（不可修改）：</label>          <div class="controls">          <input type="text" ng-model="entity.sellerId" placeholder="登陆名" class="input-xfat input-xlarge">          </div> </div> <div class="control-group">     <label class="control-label">登陆密码：</label>     <div class="controls">          <input type="password" ng-model="entity.password" placeholder="登陆密码" class="input-xfat input-xlarge">     </div> </div> 店铺名称、公司名称..............等等 <a class="sui-btn btn-block btn-xlarge btn-danger"  ng-click="add()" target="_blank">申请入驻</a>

修改sellerController.js ，在保存成功后跳转到登陆页

//注册商家 $scope.add=function(){     sellerService.add( $scope.entity  ).success(         function(response){             if(response.success){                 //注册成功，回转登录页                 location.href="shoplogin.html";             }else{                 alert(response.message);             }         }     ); }

绑定“申请入驻”按钮register.html

<a class="sui-btn btn-block btn-xlarge btn-danger" ng-click="add()"target="_blank">申请入驻</a>

3.4后端代码

修改后端代码pinyougou-sellergoods-service的SellerServiceImpl类的add方法，设置默认状态为0

/**  * 增加  */ @Override public void add(TbSeller seller) {    //设置为待审核状态    seller.setStatus("0");    seller.setCreateTime(new Date());    sellerMapper.insertSelective(seller);     }

 

4.商家审核

4.1需求分析

商家申请入驻后，需要网站运营人员在运营商后台进行审核，审核后商家才可以登陆系统。

 

状态值：  0：未审核   1：已审核   2：审核未通过   3：关闭

4.2商家待审核列表

修改seller_1.html

引入JS

<script src="../plugins/angularjs/angular.min.js"></script> <!-- 分页组件开始 --> <script src="../plugins/angularjs/pagination.js"></script> <link rel="stylesheet" href="../plugins/angularjs/pagination.css"> <!-- 分页组件结束 --> <script src="../js/base_pagination.js"></script> <script src="../js/service/sellerService.js"></script> <script src="../js/controller/baseController.js"></script> <script src="../js/controller/sellerController.js"></script>

指令

<body class="hold-transition skin-red sidebar-mini" ng-app="pinyougou" ng-controller="sellerController" ng-init="searchEntity={status:‘0‘}">

加入分页控件

<!-- 分页，paginationConf可以随便起个名字，主要是用于设置页面分页参数用的，要与$scope完成绑定 --> <tm-pagination conf="paginationConf"></tm-pagination>

循环

<tr ng-repeat="entity in list">                   <td><input  type="checkbox"></td>                                                       <td>{{entity.sellerId}}</td> <td>{{entity.name}}</td> <td>{{entity.nickName}}</td> <td>{{entity.linkmanName}}</td> <td>{{entity.telephone}}</td>                                          <td class="text-center">                                                                    <button type="button" class="btn bg-olive btn-xs" data-toggle="modal" data-target="#sellerModal" >详情</button>                                                                </td>               </tr>

 

 

4.3商家详情

 

（1）绑定页面弹出窗口

<table class="table table-bordered table-striped" width="800px"> <tr> <td>公司名称</td> <td>{{entity.name}}</td> </tr> <tr> <td>公司手机</td> <td>{{entity.mobile}}</td> </tr> <tr> <td>公司电话</td> <td>{{entity.telephone}}</td> </tr> <tr> <td>公司详细地址</td> <td>{{entity.addressDetail}}</td> </tr> </table>

（2）列表的“详情”按钮

<button type="button" class="btn bg-olive btn-xs" data-toggle="modal" data-target="#sellerModal" ng-click="findOne(entity.sellerId)">详情</button>

 

启动测试，报400错误，检查pinyougou_manager_web后台controller代码，发现入参类型不配置，修改入参类型。

 

4.4商家审核

修改pinyougou-manager-web的sellerController.js

新增updateStatus方法

//更新商家状态
$scope.updateStatus=function (sellerId,status) {
       $scope.entity = {"sellerId":sellerId,"status":status};
       //更新状态
       this.save();
   }

 

修改save方法的判断条件

//保存
$scope.save=function(){            
   var serviceObject;//服务层对象              
   if($scope.entity.sellerId!=null){//如果有ID
      serviceObject=sellerService.update( $scope.entity ); //修改 
   }else{
      serviceObject=sellerService.add( $scope.entity  );//增加
   }          
   serviceObject.success(
      function(response){
         if(response.success){
            //重新查询
              $scope.reloadList();//重新加载
         }else{
            alert(response.message);
         }
      }    
   );         
}

修改按钮，调用方法

<div class="modal-footer">                    <button class="btn btn-success" ng-click="updateStatus(entity.sellerId,1)"data-dismiss="modal" aria-hidden="true">审核通过</button>            <button class="btn btn-danger" ng-click="updateStatus(entity.sellerId,2)"  data-dismiss="modal" aria-hidden="true">审核未通过</button>           <button class="btn btn-danger" ng-click="updateStatus(entity.sellerId,3)"data-dismiss="modal" aria-hidden="true">关闭商家</button>    <button class="btn btn-default" data-dismiss="modal" aria-hidden="true">关闭</button> </div>

 

5.商家系统登录与安全控制

5.1需求分析

完成商家系统登陆与安全控制，商家账号来自数据库，并实现密码加密

5.2自定义认证类

（1）pom.xml、web.xml  、login.html  参照运营商管理后台

（2）在pinyougou-shop-web创建com.pinyougou.service包，包下创建类UserDetailsServiceImpl.java 实现UserDetailsService接口

package com.pinyougou.service; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import java.util.ArrayList; import java.util.List; /**  * 扩展权限认证类  * @author steven  * @version 1.0  * @description com.pinyougou.service  * @date 2018-5-5  */ public class UserDetailsServiceImpl implements UserDetailsService {     @Override     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {         System.out.println((username + ",进入了loadUserByUsername方法..."));         //构造用户的角色列表         List<GrantedAuthority> authorities = new ArrayList<>();         authorities.add(new SimpleGrantedAuthority("ROLE_SELLER"));         //返回真实存在的用户，让Security框架对配置用户与密码信息是否匹配         return new User(username,"123456",authorities);     } }

（3）在pinyougou-shop-web的spring目录下创建spring-security.xml

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security"              xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"              xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd                   http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">     <!-- 以下页面不被拦截 -->     <http pattern="/*.html" security="none"></http>     <http pattern="/css/**" security="none"></http>     <http pattern="/img/**" security="none"></http>     <http pattern="/js/**" security="none"></http>     <http pattern="/plugins/**" security="none"></http>     <!--不拦截商家注册url-->     <http pattern="/seller/add.do" security="none"></http>     <!-- 页面拦截规则 -->     <!--use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），         默认为true ,如果开启，则拦截的配置应该写成以下形式: access="hasRole(‘ROLE_USER‘)"-->     <http use-expressions="false">         <!--intercept-url 表示拦截页面             /*  表示的是该目录下的资源，只包括本级目录不包括下级目录             /** 表示的是该目录以及该目录下所有级别子目录的资源             access:这里必需是ROLE_前缀，配置角色的意思         -->         <intercept-url pattern="/**" access="ROLE_SELLER" />         <!--开启表单登陆功能-->         <!--             login-page：配置登录页面             default-target-url：登录成功跳转的页面             authentication-failure-url：登录失败跳转的页面             注意：以下三个地址必须带"/"不然会报错         -->         <form-login login-page="/shoplogin.html" default-target-url="/admin/index.html"                     authentication-failure-url="/shoplogin.html" always-use-default-target="true"/>         <!--关闭csrf ,如果不加会出现403错误-->         <csrf disabled="true"/>         <!--让springSecurity不拦截iframe-->         <headers>             <frame-options policy="SAMEORIGIN"/>         </headers>         <logout />     </http>     <!-- 认证管理器 -->     <authentication-manager>         <authentication-provider user-service-ref="userDetailsService">         </authentication-provider>     </authentication-manager>     <!--配置权限认证类-->     <beans:bean id="userDetailsService" class="com.pinyougou.service.UserDetailsServiceImpl"/> </beans:beans>

 

经过上述配置，用户在输入密码123456时就会通过（用户名随意），测试前记得先清除浏览器缓存。

5.3认证类调用服务方法

修改UserDetailsServiceImpl.java，修改点如下，已标红

package com.pinyougou.shop.service; import com.alibaba.dubbo.config.annotation.Reference; import com.pinyougou.pojo.TbSeller; import com.pinyougou.sellergoods.service.SellerService; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import java.util.ArrayList; import java.util.List; /**  * 扩展权限认证类  * @author steven  * @version 1.0  * @description com.pinyougou.service  * @date 2018-5-5  */ public class UserDetailsServiceImpl implements UserDetailsService {     @Reference     private SellerService sellerService;     @Override     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {         System.out.println((username + ",进入了loadUserByUsername方法..."));         //构造用户的角色列表         List<GrantedAuthority> authorities = new ArrayList<>();         authorities.add(new SimpleGrantedAuthority("ROLE_SELLER"));         TbSeller seller = sellerService.findOne(username);         //如果查找到相关商家信息，并且商家为已审核状态         if(seller != null && "1".equals(seller.getStatus())) {             //返回真实存在的用户，让Security框架对配置用户与密码信息是否匹配             return new User(username, seller.getPassword(), authorities);         }else{             return null;         }     } }

修改pinyougou-shop-web的spring-security.xml ，添加如下配置

<!-- 引用dubbo 服务 --> <dubbo:application name="pinyougou-shop-web" /> <dubbo:registry address="zookeeper://192.168.218.128:2181"/> <dubbo:annotation package="com.pinyougou.shop.service" />

 

经过上述修改后，在登陆页输入用户名和密码与数据库一致即可登陆 。

5.4密码加密

5.4.1 BCrypt加密算法

用户表的密码通常使用MD5等不可逆算法加密后存储，为防止彩虹表破解更会先使用一个特定的字符串（如域名）加密，然后再使用一个随机的salt（盐值）加密。 特定字符串是程序代码中固定的，salt是每个密码单独随机，一般给用户表加一个字段单独存储，比较麻烦。 BCrypt算法将salt随机并混入最终加密后的密码，验证时也无需单独提供之前的salt，从而无需单独处理salt问题。

5.4.2商家入驻密码加密

商家申请入驻的密码要使用BCrypt算法进行加密存储，修改SellerController.java的add方法

/**      * 增加      * @param seller      * @return      */     @RequestMapping("/add")     public Result add(@RequestBody TbSeller seller){          //密码加密          BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();          String password = passwordEncoder.encode(seller.getPassword());          seller.setPassword(password);          try {              sellerService.add(seller);              return new Result(true, "增加成功");          } catch (Exception e) {              e.printStackTrace();              return new Result(false, "增加失败");          }     }

5.4.3加密配置

修改pinyougou-shop-web的spring-security.xml ，添加如下配置

<beans:bean id="bcryptEncoder"          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

修改认证管理器的配置

<!-- 认证管理器 -->     <authentication-manager alias="authenticationManager">          <authentication-provider user-service-ref=‘userDetailService‘>                 <password-encoder ref="bcryptEncoder"></password-encoder>                     </authentication-provider>      </authentication-manager>

 

测试时，注意的问题：新增的商家，必须审核了，才能登录。

5.5显示登录名

参照运营商后台

5.6退出登录

参照运营商后台

 

以上是关于安全框架与商家入驻审核的主要内容，如果未能解决你的问题，请参考以下文章

project品优购——01

商品修改与审核

安徽河南共享链商家入驻开发指南

蘑菇街怎么开店？？

java版Spring Cloud+SpringBoot+mybatis+uniapp b2b2c 多商家入驻商城之终端设置

微信共享链商家入驻附近商户返利平台