傳智健康項目
- 黑馬程序員-傳智健康項目(第一章)
- 黑馬程序員-傳智健康項目(第二章)
- 黑馬程序員-傳智健康項目(第三章)
- 黑馬程序員-傳智健康項目(第四章)
- 黑馬程序員-傳智健康項目(第五章)
- 黑馬程序員-傳智健康項目(第六章)
- 黑馬程序員-傳智健康項目(第七章)
- 黑馬程序員-傳智健康項目(第八章)
- 黑馬程序員-傳智健康項目(第九章)
- 黑馬程序員-傳智健康項目(第十章)
- 黑馬程序員-傳智健康項目(第十一章)
- 黑馬程序員-傳智健康項目(第十二章)
- 黑馬程序員-傳智健康項目(第十三章)
- 黑馬程序員-傳智健康項目資料
第9章 移動端開發-手機快速登錄、權限控制
1. 需求分析
手機快速登錄功能,就是通過短信驗證碼的方式進行登錄。這種方式相對於用戶名密碼登錄方式,用戶不需要記憶自己的密碼,只需要通過輸入手機號並獲取驗證碼就可以完成登錄,是目前比較流行的登錄方式。
2. 手機快速登錄
2.1 頁面調整
登錄頁面為/pages/login.html
2.1.1 發送驗證碼
為獲取驗證碼按鈕綁定事件,並在事件對應的處理函數中校驗手機號,如果手機號輸入正確則顯示30秒倒計時效果並發送ajax請求,發送短信驗證碼
<div class="input-row">
<label>手機號</label>
<div class="loginInput">
<input v-model="loginInfo.telephone" id='account' type="text"
placeholder="請輸入手機號">
<input id="validateCodeButton"
@click="sendValidateCode()" type="button" style="font-size: 12px"
value="獲取驗證碼">
</div>
</div>
<script>
var vue = new Vue({
el:'#app',
data:{
loginInfo:{}//登錄信息
},
methods:{
//發送驗證碼
sendValidateCode(){
var telephone = this.loginInfo.telephone;
if (!checkTelephone(telephone)) {
this.$message.error('請輸入正確的手機號');
return false;
}
validateCodeButton = $("#validateCodeButton")[0];
clock = window.setInterval(doLoop, 1000); //一秒執行一次
axios.
post("/validateCode/send4Login.do?telephone=" + telephone).
then((response) => {
if(!response.data.flag){
//驗證碼發送失敗
this.$message.error('驗證碼發送失敗,請檢查手機號輸入是否正確');
}
});
}
}
});
</script>
在ValidateCodeController中提供send4Login方法,調用短信服務發送驗證碼並將驗證碼保存到redis
//手機快速登錄時發送手機驗證碼
@RequestMapping("/send4Login")
public Result send4Login(String telephone){
Integer code = ValidateCodeUtils.generateValidateCode(6);//生成6位數字驗證碼
try {
//發送短信
SMSUtils.sendShortMessage(SMSUtils.VALIDATE_CODE,telephone,code.toString());
} catch (ClientException e) {
e.printStackTrace();
//驗證碼發送失敗
return new Result(false, MessageConstant.SEND_VALIDATECODE_FAIL);
}
System.out.println("發送的手機驗證碼為:" + code);
//將生成的驗證碼緩存到redis
jedisPool.getResource().setex(telephone+RedisMessageConstant.SENDTYPE_LOGIN,
5 * 60,
code.toString());
//驗證碼發送成功
return new Result(true,MessageConstant.SEND_VALIDATECODE_SUCCESS);
}
2.1.2 提交登錄請求
為登錄按鈕綁定事件
<div class="btn yes-btn"><a @click="login()" href="#">登錄</a></div>
//登錄
login(){
var telephone = this.loginInfo.telephone;
if (!checkTelephone(telephone)) {
this.$message.error('請輸入正確的手機號');
return false;
}
axios.post("/member/login.do",this.loginInfo).then((response) => {
if(response.data.flag){
//登錄成功,跳轉到會員頁面
window.location.href="member.html";
}else{
//失敗,提示失敗信息
this.$message.error(response.data.message);
}
});
}
2.2 后台代碼
2.2.1 Controller
在health_mobile工程中創建MemberController並提供login方法進行登錄檢查,處理邏輯為:
1、校驗用戶輸入的短信驗證碼是否正確,如果驗證碼錯誤則登錄失敗
2、如果驗證碼正確,則判斷當前用戶是否為會員,如果不是會員則自動完成會員注冊
3、向客戶端寫入Cookie,內容為用戶手機號
4、將會員信息保存到Redis,使用手機號作為key,保存時長為30分鍾
package com.itheima.controller;
import com.alibaba.fastjson.JSON;
import com.alibaba.dubbo.config.annotation.Reference;
import com.aliyuncs.exceptions.ClientException;
import com.itheima.constant.MessageConstant;
import com.itheima.constant.RedisConstant;
import com.itheima.constant.RedisMessageConstant;
import com.itheima.entity.Result;
import com.itheima.pojo.Member;
import com.itheima.service.MemberService;
import com.itheima.utils.JedisUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import redis.clients.jedis.JedisPool;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Date;
import java.util.Map;
/**
* 會員登錄
*/
@RestController
@RequestMapping("/member")
public class MemberController {
@Reference
private MemberService memberService;
@Autowired
private JedisPool jedisPool;
//使用手機號和驗證碼登錄
@RequestMapping("/login")
public Result login(HttpServletResponse response,@RequestBody Map map){
String telephone = (String) map.get("telephone");
String validateCode = (String) map.get("validateCode");
//從Redis中獲取緩存的驗證碼
String codeInRedis =
jedisPool.getResource().get(telephone+RedisMessageConstant.SENDTYPE_LOGIN);
if(codeInRedis == null || !codeInRedis.equals(validateCode)){
//驗證碼輸入錯誤
return new Result(false,MessageConstant.VALIDATECODE_ERROR);
}else{
//驗證碼輸入正確
//判斷當前用戶是否為會員
Member member = memberService.findByTelephone(telephone);
if(member == null){
//當前用戶不是會員,自動完成注冊
member = new Member();
member.setPhoneNumber(telephone);
member.setRegTime(new Date());
memberService.add(member);
}
//登錄成功
//寫入Cookie,跟蹤用戶
Cookie cookie = new Cookie("login_member_telephone",telephone);
cookie.setPath("/");//路徑
cookie.setMaxAge(60*60*24*30);//有效期30天
response.addCookie(cookie);
//保存會員信息到Redis中
String json = JSON.toJSON(member).toString();
jedisPool.getResource().setex(telephone,60*30,json);
return new Result(true,MessageConstant.LOGIN_SUCCESS);
}
}
}
2.2.2 服務接口
在MemberService服務接口中提供findByTelephone和add方法
public void add(Member member);
public Member findByTelephone(String telephone);
2.2.3 服務實現類
在MemberServiceImpl服務實現類中實現findByTelephone和add方法
//根據手機號查詢會員
public Member findByTelephone(String telephone) {
return memberDao.findByTelephone(telephone);
}
//新增會員
public void add(Member member) {
if(member.getPassword() != null){
member.setPassword(MD5Utils.md5(member.getPassword()));
}
memberDao.add(member);
}
2.2.4 Dao接口
在MemberDao接口中聲明findByTelephone和add方法
public Member findByTelephone(String telephone);
public void add(Member member);
2.2.5 Mapper映射文件
在MemberDao.xml映射文件中定義SQL語句
<!--新增會員-->
<insert id="add" parameterType="com.itheima.pojo.Member">
<selectKey resultType="java.lang.Integer" order="AFTER" keyProperty="id">
SELECT LAST_INSERT_ID()
</selectKey>
insert into t_member
(fileNumber,name,sex,idCard,phoneNumber,regTime,password,email,birthday,remark)
values
(#{fileNumber},#{name},#{sex},#{idCard},#{phoneNumber},#{regTime},#{password},#{email},#{birthday},#{remark})
</insert>
<!--根據手機號查詢會員-->
<select id="findByTelephone" parameterType="string" resultType="com.itheima.pojo.Member">
select * from t_member where phoneNumber = #{phoneNumber}
</select>
3. 權限控制
3.1 認證和授權概念
前面我們已經完成了傳智健康后台管理系統的部分功能,例如檢查項管理、檢查組管理、套餐管理、預約設置等。接下來我們需要思考2個問題:
問題1:在生產環境下我們如果不登錄后台系統就可以完成這些功能操作嗎?
答案顯然是否定的,要操作這些功能必須首先登錄到系統才可以。
問題2:是不是所有用戶,只要登錄成功就都可以操作所有功能呢?
答案是否定的,並不是所有的用戶都可以操作這些功能。不同的用戶可能擁有不同的權限,這就需要進行授權了。
認證:系統提供的用於識別用戶身份的功能,通常提供用戶名和密碼進行登錄其實就是在進行認證,認證的目的是讓系統知道你是誰。
授權:用戶認證成功后,需要為用戶授權,其實就是指定當前用戶可以操作哪些功能。
本章節就是要對后台系統進行權限控制,其本質就是對用戶進行認證和授權。
3.2 權限模塊數據模型
前面已經分析了認證和授權的概念,要實現最終的權限控制,需要有一套表結構支撐:
用戶表t_user、權限表t_permission、角色表t_role、菜單表t_menu、用戶角色關系表t_user_role、角色權限關系表t_role_permission、角色菜單關系表t_role_menu。
表之間關系如下圖:
通過上圖可以看到,權限模塊共涉及到7張表。在這7張表中,角色表起到了至關重要的作用,其處於核心位置,因為用戶、權限、菜單都和角色是多對多關系。
接下來我們可以分析一下在認證和授權過程中分別會使用到哪些表:
認證過程:只需要用戶表就可以了,在用戶登錄時可以查詢用戶表t_user進行校驗,判斷用戶輸入的用戶名和密碼是否正確。
授權過程:用戶必須完成認證之后才可以進行授權,首先可以根據用戶查詢其角色,再根據角色查詢對應的菜單,這樣就確定了用戶能夠看到哪些菜單。然后再根據用戶的角色查詢對應的權限,這樣就確定了用戶擁有哪些權限。所以授權過程會用到上面7張表。
3.3 Spring Security簡介
Spring Security是 Spring提供的安全認證服務的框架。 使用Spring Security可以幫助我們來簡化認證和授權的過程。官網:https://spring.io/projects/spring-security
對應的maven坐標:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
常用的權限框架除了Spring Security,還有Apache的shiro框架。
3.4 Spring Security入門案例
3.4.1 工程搭建
創建maven工程,打包方式為war,為了方便起見我們可以讓入門案例工程依賴health_interface,這樣相關的依賴都繼承過來了。
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0
http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.itheima</groupId>
<artifactId>springsecuritydemo</artifactId>
<version>1.0-SNAPSHOT</version>
<packaging>war</packaging>
<name>springsecuritydemo Maven Webapp</name>
<url>http://www.example.com</url>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<maven.compiler.source>1.8</maven.compiler.source>
<maven.compiler.target>1.8</maven.compiler.target>
</properties>
<dependencies>
<dependency>
<groupId>com.itheima</groupId>
<artifactId>health_interface</artifactId>
<version>1.0-SNAPSHOT</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>85</port>
<!-- 請求路徑 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
提供index.html頁面,內容為hello Spring Security!!
3.4.2 配置web.xml
在web.xml中主要配置SpringMVC的DispatcherServlet和用於整合第三方框架的DelegatingFilterProxy,用於整合Spring Security。
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd" >
<web-app>
<display-name>Archetype Created Web Application</display-name>
<filter>
<!--
DelegatingFilterProxy用於整合第三方框架
整合Spring Security時過濾器的名稱必須為springSecurityFilterChain,
否則會拋出NoSuchBeanDefinitionException異常
-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<!-- 指定加載的配置文件 ,通過參數contextConfigLocation加載 -->
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>*.do</url-pattern>
</servlet-mapping>
</web-app>
3.4.3 配置spring-security.xml
在spring-security.xml中主要配置Spring Security的攔截規則和認證管理器。
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo
http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--
http:用於定義相關權限控制
auto-config:是否自動配置
設置為true時框架會提供默認的一些配置,例如提供默認的登錄頁面、登出處理等
設置為false時需要顯示提供登錄表單配置,否則會報錯
use-expressions:用於指定intercept-url中的access屬性是否使用表達式
-->
<security:http auto-config="true" use-expressions="true">
<!--
intercept-url:定義一個攔截規則
pattern:對哪些url進行權限控制
access:在請求對應的URL時需要什么權限,默認配置時它應該是一個以逗號分隔的角色列表,
請求的用戶只需擁有其中的一個角色就能成功訪問對應的URL
-->
<security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
</security:http>
<!--
authentication-manager:認證管理器,用於處理認證操作
-->
<security:authentication-manager>
<!--
authentication-provider:認證提供者,執行具體的認證邏輯
-->
<security:authentication-provider>
<!--
user-service:用於獲取用戶信息,提供給authentication-provider進行認證
-->
<security:user-service>
<!--
user:定義用戶信息,可以指定用戶名、密碼、角色,后期可以改為從數據庫查詢用戶信息
{noop}:表示當前使用的密碼為明文
-->
<security:user name="admin"
password="{noop}admin"
authorities="ROLE_ADMIN">
</security:user>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
3.5 對入門案例改進
前面我們已經完成了Spring Security的入門案例,通過入門案例我們可以看到,Spring Security將我們項目中的所有資源都保護了起來,要訪問這些資源必須要完成認證而且需要具有ROLE_ADMIN角色。
但是入門案例中的使用方法離我們真實生產環境還差很遠,還存在如下一些問題:
1、項目中我們將所有的資源(所有請求URL)都保護起來,實際環境下往往有一些資源不需要認證也可以訪問,也就是可以匿名訪問。
2、登錄頁面是由框架生成的,而我們的項目往往會使用自己的登錄頁面。
3、直接將用戶名和密碼配置在了配置文件中,而真實生產環境下的用戶名和密碼往往保存在數據庫中。
4、在配置文件中配置的密碼使用明文,這非常不安全,而真實生產環境下密碼需要進行加密。
本章節需要對這些問題進行改進。
3.5.1 配置可匿名訪問的資源
第一步:在項目中創建pages目錄,在pages目錄中創建a.html和b.html
第二步:在spring-security.xml文件中配置,指定哪些資源可以匿名訪問
<!--
http:用於定義相關權限控制
指定哪些資源不需要進行權限校驗,可以使用通配符
-->
<security:http security="none" pattern="/pages/a.html" />
<security:http security="none" pattern="/paegs/b.html" />
<security:http security="none" pattern="/pages/**"></security:http>
通過上面的配置可以發現,pages目錄下的文件可以在沒有認證的情況下任意訪問。
3.5.2 使用指定的登錄頁面
第一步:提供login.html作為項目的登錄頁面
<html>
<head>
<title>登錄</title>
</head>
<body>
<form action="/login.do" method="post">
username:<input type="text" name="username"><br>
password:<input type="password" name="password"><br>
<input type="submit" value="submit">
</form>
</body>
</html>
第二步:修改spring-security.xml文件,指定login.html頁面可以匿名訪問
<security:http security="none" pattern="/login.html" />
第三步:修改spring-security.xml文件,加入表單登錄信息的配置
<!--
form-login:定義表單登錄信息
-->
<security:form-login login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/index.html"
authentication-failure-url="/login.html"
/>
第四步:修改spring-security.xml文件,關閉CsrfFilter過濾器
<!--
csrf:對應CsrfFilter過濾器
disabled:是否啟用CsrfFilter過濾器,如果使用自定義登錄頁面需要關閉此項,否則登錄操作會被禁用(403)
-->
<security:csrf disabled="true"></security:csrf>
3.5.3 從數據庫查詢用戶信息
如果我們要從數據庫動態查詢用戶信息,就必須按照spring security框架的要求提供一個實現UserDetailsService接口的實現類,並按照框架的要求進行配置即可。框架會自動調用實現類中的方法並自動進行密碼校驗。
實現類代碼:
package com.itheima.security;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
public class UserService implements UserDetailsService {
//模擬數據庫中的用戶數據
public static Map<String, com.itheima.pojo.User> map = new HashMap<>();
static {
com.itheima.pojo.User user1 = new com.itheima.pojo.User();
user1.setUsername("admin");
user1.setPassword("admin");
com.itheima.pojo.User user2 = new com.itheima.pojo.User();
user2.setUsername("xiaoming");
user2.setPassword("1234");
map.put(user1.getUsername(),user1);
map.put(user2.getUsername(),user2);
}
/**
* 根據用戶名加載用戶信息
* @param username
* @return
* @throws UsernameNotFoundException
*/
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
System.out.println("username:" + username);
com.itheima.pojo.User userInDb = map.get(username);//模擬根據用戶名查詢數據庫
if(userInDb == null){
//根據用戶名沒有查詢到用戶
return null;
}
//模擬數據庫中的密碼,后期需要查詢數據庫
String passwordInDb = "{noop}" + userInDb.getPassword();
List<GrantedAuthority> list = new ArrayList<>();
//授權,后期需要改為查詢數據庫動態獲得用戶擁有的權限和角色
list.add(new SimpleGrantedAuthority("add"));
list.add(new SimpleGrantedAuthority("delete"));
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
UserDetails user = new User(username,passwordInDb,list);
return user;
}
}
spring-security.xml:
<!--
authentication-manager:認證管理器,用於處理認證操作
-->
<security:authentication-manager>
<!--
authentication-provider:認證提供者,執行具體的認證邏輯
-->
<security:authentication-provider user-service-ref="userService">
</security:authentication-provider>
</security:authentication-manager>
<bean id="userService" class="com.itheima.security.UserService"></bean>
本章節我們提供了UserService實現類,並且按照框架的要求實現了UserDetailsService接口。在spring配置文件中注冊UserService,指定其作為認證過程中根據用戶名查詢用戶信息的處理類。當我們進行登錄操作時,spring security框架會調用UserService的loadUserByUsername方法查詢用戶信息,並根據此方法中提供的密碼和用戶頁面輸入的密碼進行比對來實現認證操作。
3.5.4 對密碼進行加密
前面我們使用的密碼都是明文的,這是非常不安全的。一般情況下用戶的密碼需要進行加密后再保存到數據庫中。
常見的密碼加密方式有:
3DES、AES、DES:使用對稱加密算法,可以通過解密來還原出原始密碼
MD5、SHA1:使用單向HASH算法,無法通過計算還原出原始密碼,但是可以建立彩虹表進行查表破解
bcrypt:將salt隨機並混入最終加密后的密碼,驗證時也無需單獨提供之前的salt,從而無需單獨處理salt問題
加密后的格式一般為:
$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
加密后字符串的長度為固定的60位。其中:$是分割符,無意義;2a是bcrypt加密版本號;10是cost的值;而后的前22位是salt值;再然后的字符串就是密碼的密文了。
實現步驟:
第一步:在spring-security.xml文件中指定密碼加密對象
<!--配置密碼加密對象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<!--認證管理器,用於處理認證操作-->
<security:authentication-manager>
<!--認證提供者,執行具體的認證邏輯-->
<security:authentication-provider user-service-ref="userService">
<!--指定密碼加密策略-->
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
<!--開啟spring注解使用-->
<context:annotation-config></context:annotation-config>
第二步:修改UserService實現類
package com.itheima.security;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
public class UserService implements UserDetailsService {
@Autowired
private BCryptPasswordEncoder passwordEncoder;
public Map<String, com.itheima.pojo.User> map = new HashMap<>();//模擬數據庫中的用戶數據
public void initData(){
com.itheima.pojo.User user1 = new com.itheima.pojo.User();
user1.setUsername("admin");
user1.setPassword(passwordEncoder.encode("admin"));
com.itheima.pojo.User user2 = new com.itheima.pojo.User();
user2.setUsername("xiaoming");
user2.setPassword(passwordEncoder.encode("1234"));
map.put(user1.getUsername(),user1);
map.put(user2.getUsername(),user2);
}
/**
* 根據用戶名加載用戶信息
* @param username
* @return
* @throws UsernameNotFoundException
*/
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
initData();
System.out.println("username:" + username);
com.itheima.pojo.User userInDb = map.get(username);//模擬根據用戶名查詢數據庫
if(userInDb == null){
//根據用戶名沒有查詢到用戶
return null;
}
String passwordInDb = userInDb.getPassword();//模擬數據庫中的密碼,后期需要查詢數據庫
List<GrantedAuthority> list = new ArrayList<>();
//授權,后期需要改為查詢數據庫動態獲得用戶擁有的權限和角色
list.add(new SimpleGrantedAuthority("add"));
list.add(new SimpleGrantedAuthority("delete"));
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
UserDetails user = new User(username,passwordInDb,list);
return user;
}
}
3.5.5 配置多種校驗規則
為了測試方便,首先在項目中創建a.html、b.html、c.html、d.html幾個頁面
修改spring-security.xml文件:
<!--只要認證通過就可以訪問-->
<security:intercept-url pattern="/index.jsp" access="isAuthenticated()" />
<security:intercept-url pattern="/a.html" access="isAuthenticated()" />
<!--擁有add權限就可以訪問b.html頁面-->
<security:intercept-url pattern="/b.html" access="hasAuthority('add')" />
<!--擁有ROLE_ADMIN角色就可以訪問c.html頁面-->
<security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')" />
<!--擁有ROLE_ADMIN角色就可以訪問d.html頁面,
注意:此處雖然寫的是ADMIN角色,框架會自動加上前綴ROLE_-->
<security:intercept-url pattern="/d.html" access="hasRole('ADMIN')" />
3.5.6 注解方式權限控制
Spring Security除了可以在配置文件中配置權限校驗規則,還可以使用注解方式控制類中方法的調用。例如Controller中的某個方法要求必須具有某個權限才可以訪問,此時就可以使用Spring Security框架提供的注解方式進行控制。
實現步驟:
第一步:在spring-security.xml文件中配置組件掃描,用於掃描Controller
<mvc:annotation-driven></mvc:annotation-driven>
<context:component-scan base-package="com.itheima.controller"></context:component-scan>
第二步:在spring-security.xml文件中開啟權限注解支持
<!--開啟注解方式權限控制-->
<security:global-method-security pre-post-annotations="enabled" />
第三步:創建Controller類並在Controller的方法上加入注解進行權限控制
package com.itheima.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.RequestMapping;
@RestController
@RequestMapping("/hello")
public class HelloController {
@RequestMapping("/add")
@PreAuthorize("hasAuthority('add')")//表示用戶必須擁有add權限才能調用當前方法
public String add(){
System.out.println("add...");
return "success";
}
@RequestMapping("/delete")
@PreAuthorize("hasRole('ROLE_ADMIN')")//表示用戶必須擁有ROLE_ADMIN角色才能調用當前方法
public String delete(){
System.out.println("delete...");
return "success";
}
}
3.5.7 退出登錄
用戶完成登錄后Spring Security框架會記錄當前用戶認證狀態為已認證狀態,即表示用戶登錄成功了。那用戶如何退出登錄呢?我們可以在spring-security.xml文件中進行如下配置:
<!--
logout:退出登錄
logout-url:退出登錄操作對應的請求路徑
logout-success-url:退出登錄后的跳轉頁面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>
通過上面的配置可以發現,如果用戶要退出登錄,只需要請求/logout.do這個URL地址就可以,同時會將當前session失效,最后頁面會跳轉到login.html頁面。