SpringSecurity之授权

SpringSecurity之授权

目录

• SpringSecurity之授权
  • 1. 写在前面的话
  • 2. web授权
    • 1. 建库
    • 2. 添加查询权限的接口
    • 3. 前端页面的编写
    • 4. SpringSecurity配置
    • 5. Controller配置
  • 3. 结语

1. 写在前面的话

此文并非教程, 而是个人学习SpringSecurity时的记录以及一些踩坑解决

如果能帮到大家, 那就让人非常开心了

另外, SpringSecurity的授权分为web授权和方法授权, 本文只说明了web授权, 方法授权实际上就是SpringSecurity控制对方法和接口的访问, 需要学习的小伙伴可以自行学习, 笔者在今后的工作中如果用到的话也会回来添加相关内容

好了, 让我们看看笔者的一些学习心得吧

2. web授权

个人认为授权较之认证简单了许多, 大概是本人在认证把该踩的坑都踩了一遍吧...

首先, 我们需要建立数据库

1. 建库

我们需要以下的几张表

• 角色表

  

• 权限表

  

• 用户表(这个在认证中已经建立了)

  

• 角色权限关联表 (此处为管理员有1和2两个权限)

  

• 用户角色关联表

  

  • 关联表是为了方便拓展, 正常的业务都是这样的, 存在一对多和多对多的关系

2. 添加查询权限的接口

权限的信息也是存放在UserDetails中的, 因此我们也要实现通过用户id查询用户对应权限的功能

• 建立对应的实体类(此处省略)

  

• 添加接口以及其实现类

  • dao

    //根据用户id查询用户权限
    List<PermissionDTO> getPermissionByUserId(String userId);
    

  • service接口

    List<PermissionDTO> getPermissionByUserId(String userId);
    

  • 接口实现类

    @Override
    public List<PermissionDTO> getPermissionByUserId(String userId) {
        return userMapper.getPermissionByUserId(userId);
    }
    

• 在xml中添加查询的sql

  <!--根据用户id查询用户权限-->
  <select id="getPermissionByUserId" parameterType="string" resultType="permissionDTO">
      select *
      from t_permission
      where `id` in (
          select permission_id from t_role_permission
          where role_id = (
              select role_id from t_user_role
              where user_id = #{userId}
          )
      )
  </select>
  

  • 注意, 这里我们使用了子查询, 同时, 由于会查出多条结果, 我们要酌情考虑是否要使用 in 语句, 将多个结果放在select语句的条件中

3. 前端页面的编写

我们使用的是 layui的默认后端模板

• 模板的定义

  先编写一个后台模板文件

  <!DOCTYPE html>
  <html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
  <head>
      <meta charset="utf-8">
      <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
      <title>layout 后台大布局 - Layui</title>
      <link rel="stylesheet" th:href="@{css/layui.css}">
  </head>
  <body class="layui-layout-body">
  <div class="layui-layout layui-layout-admin">
      <div class="layui-header">
          <div class="layui-logo">layui 后台布局</div>
          <!-- 头部区域（可配合layui已有的水平导航） -->
          <ul class="layui-nav layui-layout-left">
              <li class="layui-nav-item"><a href="">控制台</a></li>
              <li class="layui-nav-item"><a href="">商品管理</a></li>
              <li class="layui-nav-item"><a href="">用户</a></li>
              <li class="layui-nav-item">
                  <a href="javascript:;">其它系统</a>
                  <dl class="layui-nav-child">
                      <dd><a href="">邮件管理</a></dd>
                      <dd><a href="">消息管理</a></dd>
                      <dd><a href="">授权管理</a></dd>
                  </dl>
              </li>
          </ul>
          <ul class="layui-nav layui-layout-right">
              <li class="layui-nav-item">
                  <a href="javascript:;">
                      <img src="http://t.cn/RCzsdCq" class="layui-nav-img">
                      <span sec:authentication="principal.username"></span>
                  </a>
                  <dl class="layui-nav-child">
                      <dd><a href="">基本资料</a></dd>
                      <dd><a href="">安全设置</a></dd>
                  </dl>
              </li>
              <li class="layui-nav-item"><a id="logout" href="javascript:void(0);" onclick="logout()">退了</a></li>
          </ul>
      </div>
      <div class="layui-side layui-bg-black">
          <div class="layui-side-scroll">
              <!-- 左侧导航区域（可配合layui已有的垂直导航） -->
              <ul class="layui-nav layui-nav-tree" lay-filter="test">
                  <li class="layui-nav-item layui-nav-itemed">
                      <a class="" href="javascript:;">所有商品</a>
                      <dl class="layui-nav-child">
                          <dd><a href="javascript:;">列表一</a></dd>
                          <dd><a href="javascript:;">列表二</a></dd>
                          <dd><a href="javascript:;">列表三</a></dd>
                          <dd><a href="">超链接</a></dd>
                      </dl>
                  </li>
                  <li class="layui-nav-item">
                      <a href="javascript:;">解决方案</a>
                      <dl class="layui-nav-child">
                          <dd><a href="javascript:;">列表一</a></dd>
                          <dd><a href="javascript:;">列表二</a></dd>
                          <dd><a href="">超链接</a></dd>
                      </dl>
                  </li>
                  <li class="layui-nav-item"><a href="">云市场</a></li>
                  <li class="layui-nav-item"><a href="">发布商品</a></li>
              </ul>
          </div>
      </div>
      <!--    <div class="layui-body">-->
      <!--        &lt;!&ndash; 内容主体区域 &ndash;&gt;-->
      <!--        <div style="padding: 15px;">内容主体区域</div>-->
      <!--    </div>-->
      <div class="layui-footer">
          <!-- 底部固定区域 -->
           layui.com - 底部固定区域
      </div>
  </div>
  <script type="text/javascript" th:src="@{js/jquery.min.js}"></script>
  <script type="text/javascript" th:src="@{js/jquery-ui.min.js}"></script>
  <script type="text/javascript" th:src="@{js/jquery.mockjax.js}"></script>
  <script th:src="@{layui.js}"></script>
  <script>
      //JavaScript代码区域
      layui.use('element', function () {
          var element = layui.element;
      });
      function logout() {
          layui.use('layer', function () {
              //退出登录
              layer.confirm('确定要退出么?', {icon: 3, title: '提示'}, function (index) {
                  //do something
                  let url = '/logout';
                  $.ajax({
                      url: url,
                      type: "post",
                      dataType: "json",
                      contentType: "application/json;charset=utf-8",
                      success: function (data) {
                          alert("进入success---");
                          let code = data.code;
                          let url = data.url;
                          let msg = data.msg;
                          if (code == 203) {
                              alert(msg);
                              window.location.href = url;
                          } else {
                              alert("未知错误!");
                          }
                      },
                      error: function (xhr, textStatus, errorThrown) {
                          alert("进入error---");
                          alert("状态码：" + xhr.status);
                          alert("状态:" + xhr.readyState); //当前状态,0-未初始化，1-正在载入，2-已经载入，3-数据进行交互，4-完成。
                          alert("错误信息:" + xhr.statusText);
                          alert("返回响应信息：" + xhr.responseText);//这里是详细的信息
                          alert("请求状态：" + textStatus);
                          alert(errorThrown);
                          alert("请求失败");
                      }
                  });
                  layer.close(index);
              });
          });
      }
  </script>
  </body>
  </html>
  

  • 注意
    • 我们为了获得SpringSecurity中的用户名, 使用了SpringSecurity的thymeleaf方言, 可以实现细粒度的控制(依据权限是否显示某些标签)
    • 引入命名空间, 这样就有代码提示了(不引入其实也无所谓~) xmlns:sec="http://www.thymeleaf.org/extras/spring-security"

• 测试用页面

  为了测试权限, 我们定义了三个按钮, 分别对应三个权限(我们在下一节的SpringSecurity配置类中可以看到)

  <!DOCTYPE html>
  <html lang="en" xmlns:th="http://www.thymeleaf.org">
  <head>
      <meta charset="UTF-8">
      <title>页面</title>
  </head>
  <body class="layui-layout-body">
  <div th:include="content/layout"></div>
  <div class="layui-layout layui-layout-admin">
      <div class="layui-body">
          <!-- 内容主体区域 -->
          <div style="padding: 15px;">成功应用模板!</div>
          <div class="layui-btn-container">
              <button type="button" class="layui-btn" onclick="btnClick1()">按钮一</button>
              <button type="button" class="layui-btn" onclick="btnClick2()">按钮二</button>
              <button type="button" class="layui-btn" onclick="btnClick3()">按钮三</button>
          </div>
      </div>
  </div>
  <script>
      $.ajaxSetup({
          type: "post",
          dataType: "json",
          contentType: "application/json;charset=utf-8",
          success: function (data) {
              let code = data.code;
              let url = data.url;
              let msg = data.msg;
              if (code == 204) {
                  alert(msg);
                  window.location.href = url;
              } else {
                  alert("未知错误!");
              }
          },
          error: function (xhr, textStatus, errorThrown) {
              alert("进入error---");
              alert("状态码：" + xhr.status);
              alert("状态:" + xhr.readyState); //当前状态,0-未初始化，1-正在载入，2-已经载入，3-数据进行交互，4-完成。
              alert("错误信息:" + xhr.statusText);
              alert("返回响应信息：" + xhr.responseText);//这里是详细的信息
              alert("请求状态：" + textStatus);
              alert(errorThrown);
              alert("请求失败");
          }
      });
      function btnClick1() {
          let url = "/toR1";
          $.ajax({
              url: url,
              type: "post",
              dataType: "json",
              contentType: "application/json;charset=utf-8",
          });
      }
      function btnClick2() {
          let url = "/toR2";
          $.ajax({
              url: url,
              type: "post",
              dataType: "json",
              contentType: "application/json;charset=utf-8",
          });
      }
      function btnClick3() {
          let url = "/toR3";
          $.ajax({
              url: url,
              type: "post",
              dataType: "json",
              contentType: "application/json;charset=utf-8",
          });
      }
  </script>
  </body>
  </html>
  

4. SpringSecurity配置

//授权
http
        .authorizeRequests()
        .antMatchers("/r/r1").hasAnyAuthority("p1")
        .antMatchers("/r/r2").hasAnyAuthority("p2")
        .antMatchers("/r/r3").access("hasAuthority('p1') and hasAuthority('p2')")
        .antMatchers("/r/**").authenticated().anyRequest().permitAll();

在配置类中配置授权的规则

注意

• Authority和Role都是角色管理, 区别是Role会加一个 ROLE_ 前缀, 具体的区别可以在网上自行查看, 一般来说, 我们使用Authority就行了

5. Controller配置

• RestController处理AJAX

package com.wang.spring_security_framework.controller;
import com.alibaba.fastjson.JSON;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;
@RestController
public class RestfulJumpController {
    @RequestMapping("/toR1")
    public String toR1Page() {
        String url = "/r/r1";
        String code = "204";
        String msg = "即将跳转!";
        Map<String, String> resultMap = new HashMap<>();
        resultMap.put("url", url);
        resultMap.put("code", code);
        resultMap.put("msg", msg);
        return JSON.toJSONString(resultMap);
    }
    @RequestMapping("/toR2")
    public String toR2Page() {
        String url = "/r/r2";
        String code = "204";
        String msg = "即将跳转!";
        Map<String, String> resultMap = new HashMap<>();
        resultMap.put("url", url);
        resultMap.put("code", code);
        resultMap.put("msg", msg);
        return JSON.toJSONString(resultMap);
    }
    @RequestMapping("/toR3")
    public String toR3Page() {
        String url = "/r/r3";
        String code = "204";
        String msg = "即将跳转!";
        Map<String, String> resultMap = new HashMap<>();
        resultMap.put("url", url);
        resultMap.put("code", code);
        resultMap.put("msg", msg);
        return JSON.toJSONString(resultMap);
    }
}

我们用RestController处理了Ajax的跳转请求, 并返回了JSON信息, 让前端进行url跳转

• 测试的授权Controller

这里的Controller用于显示对应的资源目录下的一些内容, 其中我们从会话中获取了当前登录的用户名

package com.wang.spring_security_framework.controller;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/r")
public class AuthorizeTestController {
    //从会话中获取当前登录用户名
    private String getUserName(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        //未登录, 返回null
        if(!authentication.isAuthenticated()) {
            return null;
        }
        Object principal = authentication.getPrincipal();
        String username;
        if (principal instanceof UserDetails) {
            username = ((UserDetails) principal).getUsername();
        } else {
            username = principal.toString();
        }
        return username;
    }
    @RequestMapping("/r1")
    public String R1() {
        return getUserName() + "访问资源1";
    }
    @RequestMapping("/r2")
    public String R2() {
        return getUserName() + "访问资源2";
    }
    @RequestMapping("/r3")
    public String R3() {
        return getUserName() + "访问资源3";
    }
}

3. 结语

本篇看起来很简单, 事实上也确实很简单......

主要需要理解的是数据库的建立以及关联表的处理, 其中的SQL语句才是最难搞的

访问没有授权的页面, 会爆出 405 错误, 我们可以自定义错误页面来处理这种错误(此处就不叙述了, 属于SpringBoot的内容~)

欢迎小伙伴批评与交流~