江苏省建设局网站首页,来个网站吧好人一生平安,哪里有学做视频的网站3,公司网站建设沈阳认证-授权
认证#xff1a;系统提供的用于识别用户身份的功能#xff0c;通常提供用户名和密码进行登录其实就是在进行认证#xff0c;认证的目的是让系统知道你是谁。
授权#xff1a;用户认证成功后#xff0c;需要为用户授权#xff0c;其实就是指定当前用户可以操作…认证-授权
认证系统提供的用于识别用户身份的功能通常提供用户名和密码进行登录其实就是在进行认证认证的目的是让系统知道你是谁。
授权用户认证成功后需要为用户授权其实就是指定当前用户可以操作哪些功能。
实现最终的权限控制需要以下的表结构来支持
用户表t_user、权限表t_permission、角色表t_role、菜单表t_menu、用户角色关系表t_user_role、角色权限关系表t_role_permission、角色菜单关系表t_role_menu。 认证过程只需要用户表就可以了在用户登录时可以查询用户表t_user进行校验判断用户输入的用户名和密码是否正确。
授权过程用户必须完成认证之后才可以进行授权首先可以根据用户查询其角色再根据角色查询对应的菜单这样就确定了用户能够看到哪些菜单。然后再根据用户的角色查询对应的权限这样就确定了用户拥有哪些权限。所以授权过程会用到上面7张表。
Spring Security简介
Spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网Spring Security
Spring Security入门案例
1.创建maven工程打包方式为war,对应的maven坐标
dependencygroupIdorg.springframework.security/groupIdartifactIdspring-security-web/artifactIdversion5.0.5.RELEASE/version
/dependency
dependencygroupIdorg.springframework.security/groupIdartifactIdspring-security-config/artifactIdversion5.0.5.RELEASE/version
/dependency
2.配置web.xml
3.配置spring-security.xml
4.新建一个index.xml文件
运行tomcat在地址栏访问index.htm发现自动跳转到spring_security.xml提供的登陆界面说明
Spring Security将项目中的所有资源都保护了起来要访问这些资源必须要完成认证而且需要具有ROLE_ADMIN角色
security:intercept-url pattern/** accesshasRole(ROLE_ADMIN) /
改进案例
允许匿名访问的资源
1、项目中将所有的资源所有请求URL都保护起来实际环境下往往有一些资源不需要认证也可以访问(例如登录界面)也就是可以匿名访问。
!--http用于定义相关权限控制指定哪些资源不需要进行权限校验可以使用通配符
--security:http securitynone pattern/pages/a.html /security:http securitynone pattern/paegs/b.html /security:http securitynone pattern/pages/**/security:http
自定义登录界面
2、登录页面是由框架生成的而项目往往会使用自己的登录页面。
使用指定的登录页面自己设置一个登录界面放到指定路径下
修改spring-security.xml文件指定login.html页面可以匿名访问
security:http securitynone pattern/login.html /
修改spring-security.xml文件加入表单登录信息的配置
!--如果要使用自己指定的页面作为登陆界面必须配置登录表单form-login定义表单登录信息login-processing-url:框架提供的方法页面提交的登录表单请求是由框架负责处理不用再书写controllerdefault-target-url认证成功后跳转目标authentication-failure-url认证失败后跳转目标--security:form-login login-page/login.htmlusername-parameterusernamepassword-parameterpasswordlogin-processing-url/login.dodefault-target-url/index.htmlauthentication-failure-url/login.html/security:form-login
修改spring-security.xml文件关闭CsrfFilter过滤器
!--csrf对应CsrfFilter过滤器disabled是否启用CsrfFilter过滤器如果使用自定义登录页面需要关闭此项否则登录操作会被禁用403--security:csrf disabledtrue/security:csrf
csrf是默认登录界面的校验码如果不关闭则判断校验码是否合法而自己设置的登录界面没有此校验码比较则会产生403错误
在数据库中查询数据
3、直接将用户名和密码配置在了配置文件中而真实生产环境下的用户名和密码往往保存在数据库中。
UserService实现类按照框架的要求实现了UserDetailsService接口。在spring配置文件中注册UserService指定其作为认证过程中根据用户名查询用户信息的处理类。当进行登录操作时spring security框架会调用UserService的loadUserByUsername方法查询用户信息并根据此方法中提供的密码和用户页面输入的密码进行比对来实现认证操作。
UserDetials接口的实现方法User中包含参数用户名和密码
角色登录成功但是权限不够 密码加密
4、在配置文件中配置的密码使用明文这非常不安全而真实生产环境下密码需要进行加密
常见的密码加密方式有
3DES、AES、DES使用对称加密算法可以通过解密来还原出原始密码
MD5、SHA1使用单向HASH算法无法通过计算还原出原始密码但是可以建立彩虹表进行查表破解
bcrypt将salt随机并混入最终加密后的密码验证时也无需单独提供之前的salt从而无需单独处理salt问题
加密后的格式一般为
$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
第一步在spring-security.xml文件中指定密码加密对象
!--配置密码加密对象--
bean idpasswordEncoder classorg.springframework.security.crypto.bcrypt.BCryptPasswordEncoder /!--认证管理器用于处理认证操作--
security:authentication-manager!--认证提供者执行具体的认证逻辑--security:authentication-provider user-service-refuserService!--指定密码加密策略--security:password-encoder refpasswordEncoder //security:authentication-provider
/security:authentication-manager
!--开启spring注解使用--
context:annotation-config/context:annotation-config
第二步修改UserService实现类 在实现类中使用自动注入后记得在配置中开启自动注解
!--开启spring注解使用--
context:annotation-config/context:annotation-config 配置多种校验规则
用户登录后根据不同的角色和权限允许访问不同的页面
!--只要认证通过就可以访问--
security:intercept-url pattern/index.jsp accessisAuthenticated() /
security:intercept-url pattern/a.html accessisAuthenticated() /!--拥有add权限就可以访问b.html页面--
security:intercept-url pattern/b.html accesshasAuthority(add) /!--拥有ROLE_ADMIN角色就可以访问c.html页面--
security:intercept-url pattern/c.html accesshasRole(ROLE_ADMIN) /!--拥有ROLE_ADMIN角色就可以访问d.html页面注意此处虽然写的是ADMIN角色框架会自动加上前缀ROLE_--
security:intercept-url pattern/d.html accesshasRole(ADMIN) /
注解方式权限控制
Spring Security除了可以在配置文件中配置权限校验规则还可以使用注解方式控制类中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问此时就可以使用Spring Security框架提供的注解方式进行控制
第一步在spring-security.xml文件中配置组件扫描用于扫描Controller
mvc:annotation-driven/mvc:annotation-driven
context:component-scan base-packagecom.itheima.controller/context:component-scan
第二步在spring-security.xml文件中开启权限注解支持
第三步创建Controller类并在Controller的方法上加入注解进行权限控制 PreAuthorize(hasAuthority(add))//表示用户必须拥有add权限才能调用当前方法
退出登录状态
用户在登录之后可以如果有角色和权限可以随意访问页面但是只要访问了退出登录界面就会需要重新登录才能继续访问页面
