在项目中使用Spring Security进行权限控制

1：导入Spring Security环境

（1）pom.xml中添加依赖

（2）web.xml添加代理过滤器

2：实现认证和授权

（1）认证：SpringSecurityUserService.java

（2）创建Service类、Dao接口类、Mapper映射文件

（3）springmvc.xml（dubbo注解扫描范围扩大）

（4）spring-security.xml

（5）springmvc.xml（导入spring-security.xml）

（6）TravelItemController类（@PreAuthorize("hasAuthority('CHECKITEM_ADD')"):完成权限）

（7）travelitem.html（如果没有权限，可以提示错误信息）

（8）导入login.html测试登录

3：显示用户名

4：用户退出

【路径】

1：pom.xml导入坐标

2：web.xml添加代理过滤器

在父工程的pom.xml中导入Spring Security的maven坐标

在meinian_web工程的web,xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy

在meinian_web工程中按照Spring Security框架要求提供SpringSecurityUserService，并且实现UserDetailsSercice接口

创建UserService服务接口、服务实现类、Dao接口、Mapper映射文件

【路径】

1：UserService.java 接口

2：UserServiceImpl.java 类

3：UserDao.java（使用用户id查询用户）

4：RoleDao.java （使用用户id查询角色集合）

5：PermissionDao.java（使用角色id查询权限集合）

6：UserDao.xml（使用用户id查询用户）

7：RoleDao.xml（使用用户id查询角色集合）

8：PermissionDao.xml (使用角色id查询权限集合)

使用debug跟踪调试，查看user

修改meinian_web工程中的springmvc.xml文件，修改dubbo批量扫描的包路径

之前的扫描包

现在的扫描包

此处原来扫描的包为com.atguigu.controller，现在改为com.atguigu包的目的是需要将我们上面定义的SpringSecurityUserService也扫描到，因为在SpringSecurityUserService的loadUserByUsername方法中需要通过dubbo远程调用名称为UserService的服务

【路径】

1：定义哪些链接可以放行

2：定义哪些链接不可以方向，即需要有角色、权限才可以放行

3：认证管理，定义登录账号和密码，并授权访问的角色、权限

4：设置在页面可以通过iframe访问受保护的页面，默认为不允许默认访问，需要添加security:frame-optionspolicy=”SAMEORIGIN“

【讲解】

在meinian_web工程中提供spring-security.xml配置文件

在spring-security.xml中添加

放置到<security:http auto-config="true" use-expressions="true">里面

因为我们在main.html中定义: 如果不配置springSecurity 会认为iframe访问的html页面时受保护的页面，不允许访问。

在springmvc,xml文件中引入spring-security.xml文件

在Controller的方法上加入权限 控制注解，此处以TravelItemController为例

添加页面，没有权限时提示信息设置

1.在<security:http>标签中增加<security:access-denied-handler>

2.增加自定义处理类

3.增加/pages/error/403.html页面

【路径】

1：引入js

2：定义username属性

3：使用钩子函数，调用ajax，查询登录用户(从SpringSecurity中获取)，复制username属性

4：修改页面，使用{username}显示用户信息

【讲解】

前面我们已经完成了认证和授权 *** 作，如果用户认证成功后需要在页面显示当前用户的用户名，Spring Security在认证成功后会将用户信息保存到框架提供的上下文对象中，所以此处我们就可以调用Spring Security框架提供的api获取当前用户的username 并展示到页面上

实现步骤：

第一步：在mian.html页面中修改，定义username模型数据基于VUE的数据展示用户名，发送Ajax请求获取username

(1)：引入js

(2)：定义username属性

(3)：使用钩子函数，调用ajax

(4)：修改页面

显示当前登录人

【路径】

1：在main,html中提供的退出菜单上加入超链接

2：在Spring-security.xml文件中配置

【讲解】

第一步：在main.html中提供的退出菜单上加入超链接

第二步：在Spring-security.xml文件中配置

springboot+vue用户权限管理员权限分配如下。

1、配置不同角色可以 *** 作的资源，点击系统管理-基础信息设置-权限组。

2、管理每一位 *** 作员的角色，点击系统管理- *** 作员管理。

常见的安全管理框架包括Shiro、Spring Security，Shiro轻量级，但Spring Security易于Spring Cloud整合。Spring Security除了认证和授权两个核心功能外，对常见的网络攻击也提供了防御策略。

Spring Security中，认证、授权等功能都是基于过滤器来完成的。这些过滤器按照既定的优先级排序，最终形成一个过滤器链。默认过滤器链并不是直接放在Web项目的原生过滤器链中，而是通过一个FilterChainProxy来统一管理。

基本组件：AuthenticationManager、ProviderManager、AuthenticationProvider、AbstractAuthenticationProcessingFilter

可以同时存在多个ProviderManager，即多种认证方式。实际执行认证方法的类是AuthenticationProvider，UserDetailsService的loadUserByUserName方法加载用户信息，用户信息会被存储到SecurityContextHolder中，在进行权限控制时可以在上下文中获取用户拥有的权限。

参考AbstractSecurityInterceptor的源码，SecurityMetadataSource加载所有的权限到内存，AccessDecisionManager决策用户是否有访问权限。

SecurityBuilder build方法构建过滤器链

SecurityBuilder 的实现类HttpSecurity的主要作用是用来构建一条过滤器链，也就是构建一个DefaultSecurityFilterChain对象。一个DefaultSecurityFilterChain对象包含一个路径匹配器和多个Spring Security过滤器，HttpSecurity中通过收集各种各样的xxxConfigurer， 将Spring Security过滤器对应的配置类收集起来，并保存到父类AbstractConfiguredSecurityBuilder 的configures变量中，在后续的构建过程中，再将这些xxxConfigurer构建为具体的Spring Security过滤器，同时添加到HttpSecurity的filters对象中。FilterChainProxy统一管理执行这些过滤器。

相比于HttpSecurity，WebSecurity是在一个更大的层面上去构建过滤器。一个HttpSecurity对象可以构建一个过滤器链， 也就是一个 DefaultSecurityFilterChain对象，而一个项目中可以存在多个HttpSecurity对象，也就可以构建多个DefaultSecurityFilterChain过滤器链。WebSecurity负责将 HttpSecurity所构建的DefaultSecurityFilterChain对象（可能有多个），以及其他一些需要忽略的请求，再次重新构建为一个 FilterChainProxy对象，同时添加上HTTP防火墙。

参考 《深入浅出Spring Security》

---