1.权限控制
1.1 导入Spring Security环境
pom:
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId><version>${spring.security.version}</version>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-config</artifactId><version>${spring.security.version}</version>
</dependency>
web.xml:在health_backend工程的web.xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy
<!--委派过滤器,用于整合其他框架-->
<filter><!--整合spring security时,此过滤器的名称固定springSecurityFilterChain--><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>
1.2 实现认证和授权
第一步:
在health_backend工程中按照Spring Security框架要求提供SpringSecurityUserService,并且实现UserDetailsService接口
登陆对比
public class UserSecuritys implements UserDetailsService {@Autowiredprivate BCryptPasswordEncoder bCrypt;@AutowiredUserService userService;private Map<String, User> map = new HashMap<>();@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//根据登录用户名,查询用户数据,获取User对象User user = userService.queryUserByUsername(username);System.out.println(username);//user对象是空值,没有查询到当前的用户名if (user == null) {return null;}user = userService.queryUserRolePermission(user);//List集合存储当前账户的角色和权限List<GrantedAuthority> authorityList = new ArrayList<>();Set<Role> roles = user.getRoles();//遍历角色集合,取出权限for (Role role : roles){authorityList.add(new SimpleGrantedAuthority( role.getKeyword()));Set<Permission> permissions = role.getPermissions();//遍历权限集合for (Permission permission : permissions){//权限关键字authorityList.add(new SimpleGrantedAuthority(permission.getKeyword()));}}System.out.println("authorityList = " + authorityList);return new org.springframework.security.core.userdetails.User(username,user.getPassword(),authorityList);}
}
List<GrantedAuthority> authorityList = new ArrayList<>();是固定格式
新建储存权限的列表
new SimpleGrantedAuthority(...)
springsecuroty中的一个类,可以接收String类的字符串成为其权限标识符,循环遍历role列表既可以将所有角色关键字放进权限列表
Set<Permission> permissions = role.getPermissions(); for (Permission permission : permissions){//权限关键字authorityList.add(new SimpleGrantedAuthority(permission.getKeyword())); }
遍历role列表时,内循环遍历role的每一种权限,并将权限方进
对于每一个 Permission
对象,调用 permission.getKeyword()
获取其关键字(通常是权限名称),然后创建一个新的 SimpleGrantedAuthority
对象并添加到 authorityList
中。这表示当前用户还拥有该权限。
这段代码的整体功能是:
- 遍历每个角色,将每个角色的名称作为一个权限添加到
authorityList
。 - 对于每个角色,进一步遍历其对应的权限,并将这些权限也添加到
authorityList
中。
这种做法常用于 Spring Security 中,尤其是在实现基于角色的访问控制时。通过将角色和权限整理成
GrantedAuthority
对象,可以方便地在认证和授权过程中使用。最终,authorityList
可以被用来为用户生成相应的安全上下文,以确保用户只能访问其被授权的资源。
这一步主要内容是得到前端username对应的password以及权限列表,封装成userDetails并返回,springsecurity框架会自动判断;
第二步:
创建UserService服务接口、服务实现类、Mapper接口、Mapper映射文件等,都是为了获取前端传来的username账号的信息;
第三步:
在health_backend工程中提供spring-security.xml配置文件
<!--http:用于定义相关权限控制指定哪些资源不需要进行权限校验,可以使用通配符
-->
<security:http security="none" pattern="/js/**" />
<security:http security="none" pattern="/css/**" />
<security:http security="none" pattern="/img/**" />
<security:http security="none" pattern="/plugins/**" />
intercept-url:定义一个拦截规则;
pattern:对哪些url进行权限控制
access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
isAuthenticated():已经经过认证(不是匿名用户)
配置开放权限,必须加后的/**,不然访问不了下属权限,等于没开
<!--配置拦截--><security:http auto-config="true" use-expressions="true"><!--pages文件夹中的页面,登录成功,就可以访问--><security:intercept-url pattern="/pages/**" access="isAuthenticated()"/><!--配置controller层,请求自定义访问规则--><security:intercept-url pattern="/CheckGroup/**" access="permitAll()"/><security:intercept-url pattern="/CheckItem/**" access="permitAll()"/><security:intercept-url pattern="/ordersetting/**" access="permitAll()"/><security:intercept-url pattern="/setMeal/**" access="permitAll()"/><security:intercept-url pattern="/user/**" access="permitAll()"/><security:intercept-url pattern="/report/**" access="permitAll()"/><!--配置自己的登录页面--><security:form-login login-page="/login.html" username-parameter="username"password-parameter="password" login-processing-url="/login2.do"default-target-url="/pages/main.html" authentication-failure-url="/login.html"/><!--登录退出页面--><security:logout invalidate-session="true" logout-success-url="/login.html" logout-url="/loginOut.do" /><security:session-management><security:concurrency-control max-sessions="1" expired-url="/error.html"/></security:session-management><security:headers><!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问--><security:frame-options policy="SAMEORIGIN"></security:frame-options></security:headers><security:csrf disabled="true"/></security:http>
分块解释
<security:intercept-url pattern="/pages/**" access="isAuthenticated()" /><!--form-login:定义表单登录信息--><security:form-login login-page="/login.html"username-parameter="username"password-parameter="password"login-processing-url="/login.do"default-target-url="/pages/main.html"always-use-default-target="true"authentication-failure-url="/login.html"
/>
-
login-page="/login.html"
:- 这个属性指定了登录页面的 URL。当用户未认证访问受保护的资源时,Spring Security 会将其重定向到这个登录页面。
-
username-parameter="username"
:- 这个属性定义了登录表单中用户名字段的名称。在此示例中,表单应该有一个名为
username
的输入字段。
- 这个属性定义了登录表单中用户名字段的名称。在此示例中,表单应该有一个名为
-
password-parameter="password"
:- 这个属性定义了登录表单中密码字段的名称。在此示例中,表单应该有一个名为
password
的输入字段。
- 这个属性定义了登录表单中密码字段的名称。在此示例中,表单应该有一个名为
-
login-processing-url="/login.do"
:- 这个属性指定了处理登录请求的 URL。当用户提交登录表单时,Spring Security 会向这个 URL 发送 POST 请求进行身份验证。
-
default-target-url="/pages/main.html"
:- 这个属性定义了用户成功登录后重定向的目标 URL。成功认证后,用户将被带到
/pages/main.html
。
- 这个属性定义了用户成功登录后重定向的目标 URL。成功认证后,用户将被带到
-
always-use-default-target="true"
:- 这个属性指示在用户登录后总是重定向到默认目标 URL,而不考虑原始请求的 URL。这在需要统一重定向目标的情况下很有用。
-
authentication-failure-url="/login.html"
:- 这个属性定义了当登录失败时的重定向 URL。如果用户提供了无效的用户名或密码,系统会将其重定向回登录页面
/login.html
。
- 这个属性定义了当登录失败时的重定向 URL。如果用户提供了无效的用户名或密码,系统会将其重定向回登录页面
<security:headers><!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问--><security:frame-options policy="SAMEORIGIN"></security:frame-options></security:headers>
<!--csrf:对应CsrfFilter过滤器disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
--><security:csrf disabled="true"></security:csrf>
<!--配置密码加密对象--><bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<!--认证管理器,用于处理认证操作--><security:authentication-manager><!--认证提供者,执行具体的认证逻辑--><security:authentication-provider user-service-ref="springSecurityUserService"><!--指定密码加密策略--><security:password-encoder ref="passwordEncoder" /></security:authentication-provider></security:authentication-manager>
<!--开启权限验证的注解驱动--><security:global-method-security pre-post-annotations="enabled"/>
第四步:
在Controller的方法上加入权限控制注解,此处以CheckItemController为例
/*** 体检检查项管理*/
@RestController
@RequestMapping("/checkitem")
public class CheckItemController {@Autowiredprivate CheckItemService checkItemService;//分页查询@PreAuthorize("hasAuthority('CHECKITEM_QUERY')")//权限校验@RequestMapping("/findPage")public PageResult findPage(@RequestBody QueryPageBean queryPageBean){PageResult pageResult = checkItemService.pageQuery(queryPageBean.getCurrentPage(), queryPageBean.getPageSize(), queryPageBean.getQueryString());return pageResult;}//删除@PreAuthorize("hasAuthority('CHECKITEM_DELETE')")//权限校验@RequestMapping("/delete")public Result delete(Integer id){try {checkItemService.delete(id);}catch (RuntimeException e){return new Result(false,e.getMessage());}catch (Exception e){return new Result(false, MessageConstant.DELETE_CHECKITEM_FAIL);}return new Result(true,MessageConstant.DELETE_CHECKITEM_SUCCESS);}//新增@PreAuthorize("hasAuthority('CHECKITEM_ADD')")//权限校验@RequestMapping("/add")public Result add(@RequestBody CheckItem checkItem){try {checkItemService.add(checkItem);}catch (Exception e){return new Result(false,MessageConstant.ADD_CHECKITEM_FAIL);}return new Result(true,MessageConstant.ADD_CHECKITEM_SUCCESS);}//编辑@PreAuthorize("hasAuthority('CHECKITEM_EDIT')")//权限校验@RequestMapping("/edit")public Result edit(@RequestBody CheckItem checkItem){try {checkItemService.edit(checkItem);}catch (Exception e){return new Result(false,MessageConstant.EDIT_CHECKITEM_FAIL);}return new Result(true,MessageConstant.EDIT_CHECKITEM_SUCCESS);}
}
@PreAuthorize("hasAuthority('CHECKITEM_ADD')")//权限校验
可以使用hasAuthority或者hasRole
第五步:
修改页面,没有权限时提示信息设置,此处以checkitem.html中的handleDelete方法为例
//权限不足提示
showMessage(r){if(r == 'Error: Request failed with status code 403'){//权限不足this.$message.error('无访问权限');return;}else{this.$message.error('未知错误');return;}
}
// 删除
handleDelete(row) {this.$confirm('此操作将永久当前数据,是否继续?', '提示', {type: 'warning'}).then(()=>{//点击确定按钮执行此代码axios.get("/checkitem/delete.do?id=" + row.id).then((res)=> {if(!res.data.flag){//删除失败this.$message.error(res.data.message);}else{//删除成功this.$message({message: res.data.message,type: 'success'});this.findPage();}}).catch((r)=>{this.showMessage(r);});}).catch(()=> {//点击取消按钮执行此代码this.$message('操作已取消');});
}
1.3 用户退出
第一步:在main.html中提供的退出菜单上加入超链接
<el-dropdown-item divided><span style="display:block;"><a href="/logout.do">退出</a></span>
</el-dropdown-item>
第二步:在spring-security.xml文件中配置
<!--logout:退出登录logout-url:退出登录操作对应的请求路径logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do" logout-success-url="/login.html" invalidate-session="true"/>