Java学习Day54:初遇萍萍(权限控制)

1.权限控制

1.1 导入Spring Security环境

pom:

java 复制代码
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>${spring.security.version}</version>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>${spring.security.version}</version>
</dependency>

web.xml:在health_backend工程的web.xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy

java 复制代码
<!--委派过滤器,用于整合其他框架-->
<filter>
  <!--整合spring security时,此过滤器的名称固定springSecurityFilterChain-->
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

1.2 实现认证和授权

第一步:

在health_backend工程中按照Spring Security框架要求提供SpringSecurityUserService,并且实现UserDetailsService接口

登陆对比

java 复制代码
public class UserSecuritys implements UserDetailsService {
    @Autowired
    private BCryptPasswordEncoder bCrypt;
    @Autowired
    UserService userService;

    private Map<String, User> map = new HashMap<>();
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据登录用户名,查询用户数据,获取User对象
        User user =  userService.queryUserByUsername(username);
        System.out.println(username);
        //user对象是空值,没有查询到当前的用户名
        if (user == null) {
            return null;
        }
        user = userService.queryUserRolePermission(user);
        //List集合存储当前账户的角色和权限
        List<GrantedAuthority> authorityList = new ArrayList<>();
        Set<Role> roles = user.getRoles();
        //遍历角色集合,取出权限
        for (Role role : roles){
            authorityList.add(new SimpleGrantedAuthority( role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            //遍历权限集合
            for (Permission permission : permissions){
                //权限关键字
                authorityList.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        System.out.println("authorityList = " + authorityList);
        return new org.springframework.security.core.userdetails.User(username,user.getPassword(),authorityList);
    }
}

List<GrantedAuthority> authorityList = new ArrayList<>();是固定格式

新建储存权限的列表

new SimpleGrantedAuthority(...)

springsecuroty中的一个类,可以接收String类的字符串成为其权限标识符,循环遍历role列表既可以将所有角色关键字放进权限列表

复制代码
Set<Permission> permissions = role.getPermissions();
for (Permission permission : permissions){
    //权限关键字
    authorityList.add(new SimpleGrantedAuthority(permission.getKeyword()));
}

遍历role列表时,内循环遍历role的每一种权限,并将权限方进

对于每一个 Permission 对象,调用 permission.getKeyword() 获取其关键字(通常是权限名称),然后创建一个新的 SimpleGrantedAuthority 对象并添加到 authorityList 中。这表示当前用户还拥有该权限。

这段代码的整体功能是:

  • 遍历每个角色,将每个角色的名称作为一个权限添加到 authorityList
  • 对于每个角色,进一步遍历其对应的权限,并将这些权限也添加到 authorityList 中。

这种做法常用于 Spring Security 中,尤其是在实现基于角色的访问控制时。通过将角色和权限整理成 GrantedAuthority 对象,可以方便地在认证和授权过程中使用。最终,authorityList 可以被用来为用户生成相应的安全上下文,以确保用户只能访问其被授权的资源。

这一步主要内容是得到前端username对应的password以及权限列表,封装成userDetails并返回,springsecurity框架会自动判断;

第二步:

创建UserService服务接口、服务实现类、Mapper接口、Mapper映射文件等,都是为了获取前端传来的username账号的信息;

第三步:

在health_backend工程中提供spring-security.xml配置文件

XML 复制代码
<!--
   http:用于定义相关权限控制
   指定哪些资源不需要进行权限校验,可以使用通配符
-->
<security:http security="none" pattern="/js/**" />
<security:http security="none" pattern="/css/**" />
<security:http security="none" pattern="/img/**" />
<security:http security="none" pattern="/plugins/**" />

intercept-url:定义一个拦截规则;

pattern:对哪些url进行权限控制

access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,

请求的用户只需拥有其中的一个角色就能成功访问对应的URL

isAuthenticated():已经经过认证(不是匿名用户)

配置开放权限,必须加后的/**,不然访问不了下属权限,等于没开

XML 复制代码
    <!--配置拦截-->
    <security:http auto-config="true" use-expressions="true">
        <!--pages文件夹中的页面,登录成功,就可以访问-->
        <security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>
        <!--配置controller层,请求自定义访问规则-->
        <security:intercept-url pattern="/CheckGroup/**" access="permitAll()"/>
        <security:intercept-url pattern="/CheckItem/**" access="permitAll()"/>
        <security:intercept-url pattern="/ordersetting/**" access="permitAll()"/>
        <security:intercept-url pattern="/setMeal/**" access="permitAll()"/>
        <security:intercept-url pattern="/user/**" access="permitAll()"/>
        <security:intercept-url pattern="/report/**" access="permitAll()"/>

        <!--配置自己的登录页面-->
        <security:form-login login-page="/login.html" username-parameter="username"
                             password-parameter="password" login-processing-url="/login2.do"
                             default-target-url="/pages/main.html" authentication-failure-url="/login.html"/>

        <!--登录退出页面-->
        <security:logout invalidate-session="true" logout-success-url="/login.html" logout-url="/loginOut.do" />

        <security:session-management>
            <security:concurrency-control max-sessions="1" expired-url="/error.html"/>
        </security:session-management>

        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>

        <security:csrf disabled="true"/>
    </security:http>

分块解释

XML 复制代码
 <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />
        <!--form-login:定义表单登录信息-->
        <security:form-login login-page="/login.html"
                  username-parameter="username"
                  password-parameter="password"
                  login-processing-url="/login.do"
                  default-target-url="/pages/main.html"
                  always-use-default-target="true"
                  authentication-failure-url="/login.html"
/>
  • login-page="/login.html"

    • 这个属性指定了登录页面的 URL。当用户未认证访问受保护的资源时,Spring Security 会将其重定向到这个登录页面。
  • username-parameter="username"

    • 这个属性定义了登录表单中用户名字段的名称。在此示例中,表单应该有一个名为 username 的输入字段。
  • password-parameter="password"

    • 这个属性定义了登录表单中密码字段的名称。在此示例中,表单应该有一个名为 password 的输入字段。
  • login-processing-url="/login.do"

    • 这个属性指定了处理登录请求的 URL。当用户提交登录表单时,Spring Security 会向这个 URL 发送 POST 请求进行身份验证。
  • default-target-url="/pages/main.html"

    • 这个属性定义了用户成功登录后重定向的目标 URL。成功认证后,用户将被带到 /pages/main.html
  • always-use-default-target="true"

    • 这个属性指示在用户登录后总是重定向到默认目标 URL,而不考虑原始请求的 URL。这在需要统一重定向目标的情况下很有用。
  • authentication-failure-url="/login.html"

    • 这个属性定义了当登录失败时的重定向 URL。如果用户提供了无效的用户名或密码,系统会将其重定向回登录页面 /login.html
XML 复制代码
 <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
XML 复制代码
<!--
     csrf:对应CsrfFilter过滤器
     disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,
	否则登录操作会被禁用(403)
-->
  <security:csrf disabled="true"></security:csrf>
XML 复制代码
 <!--配置密码加密对象-->
    <bean id="passwordEncoder" 
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
XML 复制代码
 <!--认证管理器,用于处理认证操作-->
    <security:authentication-manager>
        <!--认证提供者,执行具体的认证逻辑-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--指定密码加密策略-->
            <security:password-encoder ref="passwordEncoder" />
        </security:authentication-provider>
    </security:authentication-manager>
XML 复制代码
    <!--开启权限验证的注解驱动-->
    <security:global-method-security pre-post-annotations="enabled"/>
第四步:

在Controller的方法上加入权限控制注解,此处以CheckItemController为例

java 复制代码
/**
 * 体检检查项管理
 */
@RestController
@RequestMapping("/checkitem")
public class CheckItemController {
    @Autowired
    private CheckItemService checkItemService;

    //分页查询
    @PreAuthorize("hasAuthority('CHECKITEM_QUERY')")//权限校验
    @RequestMapping("/findPage")
    public PageResult findPage(@RequestBody QueryPageBean queryPageBean){
        PageResult pageResult = checkItemService.pageQuery(
                                    queryPageBean.getCurrentPage(), 
                                    queryPageBean.getPageSize(), 
                                    queryPageBean.getQueryString());
        return pageResult;
    }

    //删除
    @PreAuthorize("hasAuthority('CHECKITEM_DELETE')")//权限校验
    @RequestMapping("/delete")
    public Result delete(Integer id){
        try {
            checkItemService.delete(id);
        }catch (RuntimeException e){
            return new Result(false,e.getMessage());
        }catch (Exception e){
            return new Result(false, MessageConstant.DELETE_CHECKITEM_FAIL);
        }
        return new Result(true,MessageConstant.DELETE_CHECKITEM_SUCCESS);
    }

    //新增
    @PreAuthorize("hasAuthority('CHECKITEM_ADD')")//权限校验
    @RequestMapping("/add")
    public Result add(@RequestBody CheckItem checkItem){
        try {
            checkItemService.add(checkItem);
        }catch (Exception e){
            return new Result(false,MessageConstant.ADD_CHECKITEM_FAIL);
        }
        return new Result(true,MessageConstant.ADD_CHECKITEM_SUCCESS);
    }

    //编辑
    @PreAuthorize("hasAuthority('CHECKITEM_EDIT')")//权限校验
    @RequestMapping("/edit")
    public Result edit(@RequestBody CheckItem checkItem){
        try {
            checkItemService.edit(checkItem);
        }catch (Exception e){
            return new Result(false,MessageConstant.EDIT_CHECKITEM_FAIL);
        }
        return new Result(true,MessageConstant.EDIT_CHECKITEM_SUCCESS);
    }
}

@PreAuthorize("hasAuthority('CHECKITEM_ADD')")//权限校验

可以使用hasAuthority或者hasRole

第五步:

修改页面,没有权限时提示信息设置,此处以checkitem.html中的handleDelete方法为例

javascript 复制代码
//权限不足提示
showMessage(r){
  if(r == 'Error: Request failed with status code 403'){
    //权限不足
    this.$message.error('无访问权限');
    return;
  }else{
    this.$message.error('未知错误');
    return;
  }
}
javascript 复制代码
// 删除
handleDelete(row) {
  this.$confirm('此操作将永久当前数据,是否继续?', '提示', {
    type: 'warning'
  }).then(()=>{
    //点击确定按钮执行此代码
    axios.get("/checkitem/delete.do?id=" + row.id).then((res)=> {
      if(!res.data.flag){
        //删除失败
        this.$message.error(res.data.message);
      }else{
        //删除成功
        this.$message({
          message: res.data.message,
          type: 'success'
        });
        this.findPage();
      }
    }).catch((r)=>{
      this.showMessage(r);
    });
  }).catch(()=> {
    //点击取消按钮执行此代码
    this.$message('操作已取消');
  });
}

1.3 用户退出

第一步:在main.html中提供的退出菜单上加入超链接

html 复制代码
<el-dropdown-item divided>
  <span style="display:block;"><a href="/logout.do">退出</a></span>
</el-dropdown-item>

第二步:在spring-security.xml文件中配置

html 复制代码
<!--
  logout:退出登录
  logout-url:退出登录操作对应的请求路径
  logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do" 
                 logout-success-url="/login.html" invalidate-session="true"/>
相关推荐
Ttang23几秒前
Tomcat原理(6)——tomcat完整实现
java·tomcat
小张认为的测试6 分钟前
Linux性能监控命令_nmon 安装与使用以及生成分析Excel图表
linux·服务器·测试工具·自动化·php·excel·压力测试
钱多多_qdd12 分钟前
spring cache源码解析(四)——从@EnableCaching开始来阅读源码
java·spring boot·spring
waicsdn_haha14 分钟前
Java/JDK下载、安装及环境配置超详细教程【Windows10、macOS和Linux图文详解】
java·运维·服务器·开发语言·windows·后端·jdk
biter008819 分钟前
opencv(15) OpenCV背景减除器(Background Subtractors)学习
人工智能·opencv·学习
Q_192849990624 分钟前
基于Spring Boot的摄影器材租赁回收系统
java·spring boot·后端
Code_流苏26 分钟前
VSCode搭建Java开发环境 2024保姆级安装教程(Java环境搭建+VSCode安装+运行测试+背景图设置)
java·ide·vscode·搭建·java开发环境
禁默1 小时前
深入浅出:AWT的基本组件及其应用
java·开发语言·界面编程
Cachel wood1 小时前
python round四舍五入和decimal库精确四舍五入
java·linux·前端·数据库·vue.js·python·前端框架
Code哈哈笑1 小时前
【Java 学习】深度剖析Java多态:从向上转型到向下转型,解锁动态绑定的奥秘,让代码更优雅灵活
java·开发语言·学习