问题1:在生产环境下如果不登录后台系统就可以完成这些某些功能操作吗?
答案显然是否定的,要操作这些功能必须首先登录到系统才可以。
问题2:是不是所有用户,只要登录成功就都可以操作所有功能呢?
答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。
认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。
授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。
要实现最终的权限控制,需要有一套表结构支撑:
用户表t_user、权限表t_permission、角色表t_role、菜单表t_menu、用户角色关系表
t_user_role、角色权限关系表t_role_permission、角色菜单关系表t_role_menu
通过上图可以看到,权限模块共涉及到7张表。在这7张表中,角色表起到了至关重要的作用,其处于核心位置,因为用户、权限、菜单都和角色是多对多关系。
认证过程:只需要用户表就可以了,在用户登录时可以查询用户表t_user进行校验,判断用户输入的用户名和密码是否正确。
授权过程:用户必须完成认证之后才可以进行授权,首先可以根据用户查询其角色,再根据角色查询对应的菜单,这样就确定了用户能够看到哪些菜单。然后再根据用户的角色查询对应的权限,这样就确定了用户拥有哪些权限。所以授权过程会用到上面7张表。
Spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:Spring Security
对应的maven坐标:
- <dependency>
- <groupId>org.springframework.securitygroupId>
- <artifactId>spring-security-webartifactId>
- <version>5.0.5.RELEASEversion>
- dependency>
- <dependency>
- <groupId>org.springframework.securitygroupId>
- <artifactId>spring-security-configartifactId>
- <version>5.0.5.RELEASEversion>
- dependency>
创建maven工程,打包方式为war
在web.xml中主要配置SpringMVC的DispatcherServlet和用于整合第三方框架
DelegatingFilterProxy,用于整合Spring Security。
- web-app PUBLIC
- "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
- "http://java.sun.com/dtd/web-app_2_3.dtd" >
-
- <web-app>
- <display-name>Archetype Created Web Applicationdisplay-name>
- <filter>
-
- <filter-name>springSecurityFilterChainfilter-name>
- <filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class>
- filter>
- <filter-mapping>
- <filter-name>springSecurityFilterChainfilter-name>
- <url-pattern>/*url-pattern>
- filter-mapping>
- <servlet>
- <servlet-name>springmvcservlet-name>
- <servlet-class>org.springframework.web.servlet.DispatcherServletservlet-class>
-
- <init-param>
- <param-name>contextConfigLocationparam-name>
- <param-value>classpath:spring-security.xmlparam-value>
- init-param>
- <load-on-startup>1load-on-startup>
- servlet>
- <servlet-mapping>
- <servlet-name>springmvcservlet-name>
- <url-pattern>*.dourl-pattern>
- servlet-mapping>
-
- web-app>
在spring-security.xml中主要配置Spring Security的拦截规则和认证管理器。
- "1.0" encoding="UTF-8"?>
- <beans xmlns="http://www.springframework.org/schema/beans"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xmlns:context="http://www.springframework.org/schema/context"
- xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
- xmlns:mvc="http://www.springframework.org/schema/mvc"
- xmlns:security="http://www.springframework.org/schema/security"
- xsi:schemaLocation="http://www.springframework.org/schema/beans
- http://www.springframework.org/schema/beans/spring-beans.xsd
- http://www.springframework.org/schema/mvc
- http://www.springframework.org/schema/mvc/spring-mvc.xsd
- http://code.alibabatech.com/schema/dubbo
- http://code.alibabatech.com/schema/dubbo/dubbo.xsd
- http://www.springframework.org/schema/context
- http://www.springframework.org/schema/context/spring-context.xsd
- http://www.springframework.org/schema/security
- http://www.springframework.org/schema/security/spring-security.xsd">
-
-
- <security:http auto-config="true" use-expressions="true">
-
- <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
- security:http>
-
-
- <security:authentication-manager>
-
- <security:authentication-provider>
-
- <security:user-service>
-
- <security:user name="admin"
- password="{noop}admin"
- authorities="ROLE_ADMIN">
- security:user>
- security:user-service>
- security:authentication-provider>
- security:authentication-manager>
- beans>
1、项目中我们将所有的资源(所有请求URL)都保护起来,实际环境下往往有一些资源不需要认证也可以访问,也就是可以匿名访问。
2、登录页面是由框架生成的,而我们的项目往往会使用自己的登录页面。
3、直接将用户名和密码配置在了配置文件中,而真实生产环境下的用户名和密码往往保存在数据库中。
4、在配置文件中配置的密码使用明文,这非常不安全,而真实生产环境下密码需要进行加密。
第一步:在项目中创建pages目录,在pages目录中创建a.html和b.html
第二步:在spring-security.xml文件中配置,指定哪些资源可以匿名访问
- <security:http security="none" pattern="/pages/a.html" />
- <security:http security="none" pattern="/paegs/b.html" />
- <security:http security="none" pattern="/pages/**">security:http>
通过上面的配置可以发现,pages目录下的文件可以在没有认证的情况下任意访问。
第一步:提供login.html作为项目的登录页面
- <html>
- <head>
- <title>登录title>
- head>
- <body>
- <form action="/login.do" method="post">
- username:<input type="text" name="username"><br>
- password:<input type="password" name="password"><br>
- <input type="submit" value="submit">
- form>
- body>
- html>
第二步:修改spring-security.xml文件,指定login.html页面可以匿名访问
<security:http security="none" pattern="/login.html" />
第三步:修改spring-security.xml文件,加入表单登录信息的配置
- <security:form-login login-page="/login.html"
- username-parameter="username"
- password-parameter="password"
- login-processing-url="/login.do"
- default-target-url="/index.html"
- authentication-failure-url="/login.html"
- />
第四步:修改spring-security.xml文件,关闭CsrfFilter过滤器
- <security:csrf disabled="true">security:csrf>
如果要从数据库动态查询用户信息,就必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可。框架会自动调用实现类中的方法并自动进行密码校验。
实现类代码:
- public class UserService implements UserDetailsService {
- //模拟数据库中的用户数据
- public static Map
map = new HashMap<>(); - static {
- com.itheima.pojo.User user1 = new com.itheima.pojo.User();
- user1.setUsername("admin");
- user1.setPassword("admin");
-
- com.itheima.pojo.User user2 = new com.itheima.pojo.User();
- user2.setUsername("xiaoming");
- user2.setPassword("1234");
-
- map.put(user1.getUsername(),user1);
- map.put(user2.getUsername(),user2);
- }
- /**
- * 根据用户名加载用户信息
- * @param username
- * @return
- * @throws UsernameNotFoundException
- */
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- System.out.println("username:" + username);
- com.itheima.pojo.User userInDb = map.get(username);//模拟根据用户名查询数据库
- if(userInDb == null){
- //根据用户名没有查询到用户
- return null;
- }
-
- //模拟数据库中的密码,后期需要查询数据库
- String passwordInDb = "{noop}" + userInDb.getPassword();
-
- List
list = new ArrayList<>(); - //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
- list.add(new SimpleGrantedAuthority("add"));
- list.add(new SimpleGrantedAuthority("delete"));
- list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
-
- UserDetails user = new User(username,passwordInDb,list);
- return user;
- }
- }
spring-security.xml:
- <security:authentication-manager>
-
- <security:authentication-provider user-service-ref="userService">
- security:authentication-provider>
- security:authentication-manager>
-
- <bean id="userService" class="com.itheima.security.UserService">bean>
提供了UserService实现类,并且按照框架的要求实现了UserDetailsService接口。在spring配置文件中注册UserService,指定其作为认证过程中根据用户名查询用户信息的处理类。当进行登录操作时,spring security框架会调用UserService的loadUserByUsername方法查询用户信息,并根据此方法中提供的密码和用户页面输入的密码进行比对来实现认证操作。
常见的密码加密方式有:
3DES、AES、DES:使用对称加密算法,可以通过解密来还原出原始密码
MD5、SHA1:使用单向HASH算法,无法通过计算还原出原始密码,但是可以建立彩虹表进行查表破解
bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题
加密后的格式一般为:
$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
加密后字符串的长度为固定的60位。其中:$是分割符,无意义;2a是bcrypt加密版本号;
10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了。
实现步骤:
第一步:在spring-security.xml文件中指定密码加密对象
- <bean id="passwordEncoder"
- class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
-
- <security:authentication-manager>
-
- <security:authentication-provider user-service-ref="userService">
-
- <security:password-encoder ref="passwordEncoder" />
- security:authentication-provider>
- security:authentication-manager>
- <context:annotation-config>context:annotation-config>
第二步:修改UserService实现类
- public class UserService implements UserDetailsService {
- @Autowired
- private BCryptPasswordEncoder passwordEncoder;
-
- public Map
map = new HashMap<>();//模拟数据库中的用户数据 -
- public void initData(){
- com.itheima.pojo.User user1 = new com.itheima.pojo.User();
- user1.setUsername("admin");
- user1.setPassword(passwordEncoder.encode("admin"));
-
- com.itheima.pojo.User user2 = new com.itheima.pojo.User();
- user2.setUsername("xiaoming");
- user2.setPassword(passwordEncoder.encode("1234"));
-
- map.put(user1.getUsername(),user1);
- map.put(user2.getUsername(),user2);
- }
- /**
- * 根据用户名加载用户信息
- * @param username
- * @return
- * @throws UsernameNotFoundException
- */
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- initData();
- System.out.println("username:" + username);
- com.itheima.pojo.User userInDb = map.get(username);//模拟根据用户名查询数据库
- if(userInDb == null){
- //根据用户名没有查询到用户
- return null;
- }
-
- String passwordInDb = userInDb.getPassword();//模拟数据库中的密码,后期需要查询数据库
-
- List
list = new ArrayList<>(); - //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
- list.add(new SimpleGrantedAuthority("add"));
- list.add(new SimpleGrantedAuthority("delete"));
- list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
- UserDetails user = new User(username,passwordInDb,list);
- return user;
- }
- }
为了测试方便,首先在项目中创建a.html、b.html、c.html、d.html几个页面
修改spring-security.xml文件:
- <security:intercept-url pattern="/index.jsp" access="isAuthenticated()" />
- <security:intercept-url pattern="/a.html" access="isAuthenticated()" />
-
- <security:intercept-url pattern="/b.html" access="hasAuthority('add')" />
-
- <security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')" />
-
- <security:intercept-url pattern="/d.html" access="hasRole('ADMIN')" />
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类中方法的调用。 Controller中的某个方法要求必须具有某个权限才可以访问,此时就可以使用Spring Security框架提供的注解方式进行控制。
实现步骤:
第一步:在spring-security.xml文件中配置组件扫描,用于扫描Controller
- <mvc:annotation-driven>mvc:annotation-driven>
- <context:component-scan base-package="com.green.controller">context:component-scan>
第二步:在spring-security.xml文件中开启权限注解支持
- <security:global-method-security pre-post-annotations="enabled" />
第三步:创建Controller类并在Controller的方法上加入注解进行权限控制
- @RestController
- @RequestMapping("/hello")
- public class HelloController {
- @RequestMapping("/add")
- @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
- public String add(){
- System.out.println("add...");
- return "success";
- }
-
- @RequestMapping("/delete")
- @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
- public String delete(){
- System.out.println("delete...");
- return "success";
- }
用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态,即表示用户登录成功了。那用户如何退出登录呢?我们可以在spring-security.xml文件中进行如下配置:
- <security:logout logout-url="/logout.do"
- logout-success-url="/login.html" invalidate-session="true"/>
通过上面的配置可以发现,如果用户要退出登录,只需要请求/logout.do这个URL地址就可以,同时会将当前session失效,最后页面会跳转到login.html页面。