【仿牛客网笔记】项目进阶，构建安全高效的企业服务——权限控制

引入依赖

将登录检查拦截器删除掉




授权
首先显示路径

除了这些请求，其他的请求统统允许。

当权限不够处理的时候
返回XML是异步请求

添加denied的路径



获取用户权限的方法

将结果存入到集合中，实例化一个集合

获得用户权限，并把权限存放到Context中
注意在引入的时候引入正确包
在请求登录的开始判断，登录后，得到用户，并得到了权限后面授权就可以进行。

对保存权限进行清理

退出的时候对认证结果清理一下。

CSRF
浏览器访问过服务器，给浏览器发送了一个ticket,存到cookie。
这个时候浏览器先服务器发送请求，get请求，get请求是一个有表单的页面。这个请求希望返回一个带form的页面，返回后没有直接提交，而是访问另外一个网站，这个网站是一个带有病毒的网站，通过病毒窃取了用户的cookie，这个网站就可以模仿，伪造你的身份，帮你进行了一个提交，这是一个要求转账这个时候就不安全。

Security会在返回的时候携带一个隐藏的Tocken,防止CSRF攻击。
可以获取Ticket但是没有获取Tocken,就可以认为这个是伪造的。

异步请求

改为当Message不为空的时候在去实例化Map