SpringSecurity實現權限管理和頁面導航欄動態實現

1     用戶模塊. 3html

1.1  需求:獲取用戶名. 3java

1.1.1     分析. 3web

1.1.2     服務端獲取用戶信息. 4spring

1.1.3     頁面獲取用戶信息. 5數據庫

1.2  給用戶分配角色. 7瀏覽器

1.2.1     需求分析. 7session

1.2.2     效果預覽. 7mvc

1.2.3     進入用戶角色列表頁面. 9app

1.2.4     保存. 12less

2     SpringSecurity 受權功能. 13

2.1  在JSP頁面控制菜單權限. 13

2.1.1     基本語法. 13

2.1.2     應用. 14

2.2  服務端控制權限. 18

2.2.1     爲何須要在服務端控制權限呢?. 18

2.2.2     方式1:JSR-250註解方式權限校驗. 19

2.2.3     方式2:SpringSecurity註解方式實現權限校驗. 20

2.2.4     方式3:SpEL表達式方式實現權限校驗. 20

3     系統日誌功能. 21

3.1  需求. 21

3.2  建表. 21

3.3  domain 21

3.4  dao 22

3.5  service 22

3.5.1     接口. 22

3.5.2     實現. 22

3.6  編寫切面類. 23

3.6.1     先再web.xml配置監聽器. 23

3.6.2     切面類. 23

3.6.3     註解掃描切面類. 25

3.6.4     訪問controller測試. 25

1   用戶模塊

1.1   需求:獲取用戶名

1.1.1     分析

(1)       SecurityContext 上下文對象

 

(2)       查看實現類SecurityContextImpl

 

 

(3)       查看Authentication認證對象

Authencication 封裝的就是用戶信息。

 

 

(4)       Authentication 實現類: UsernamePasswordAuthenticationToken

此類封裝的就是用戶密碼的token信息

 

 

(5)       這裏的principal就是指SysUser對象

 

(6)       Authentication 會封裝到SecurityContext中

(7)       而後,把SecurityContext綁定到當前線程上。

(8)       最後SecurityContext會存入HttpSession中

(9)       最終:session---àSecurityContext-----àAuthencication-------àSysUser

1.1.2     服務端獲取用戶信息

/**
 *
查詢所有
 */
@RequestMapping("/findAll")
public ModelAndView findAll(
        @RequestParam(required = true,defaultValue = "1") int pageNum,
        @RequestParam(required = true,defaultValue = "2") int pageSize){

    // 測試代碼
    //1.
獲取綁定到固然線程上的SecurityContext
   
SecurityContext securityContext = SecurityContextHolder.getContext();
    //2. 獲取認證器對象
   
Authentication authentication = securityContext.getAuthentication();
    //3. 獲取認證身份信息. 注意這裏的user
// org.springframework.security.core.userdetails.User
    
 User user = (User) authentication.getPrincipal();

    //4. 獲取用戶名
   
System.out.println(sysUser.getUsername());


    // 調用service查詢
   
List<SysUser> userList = userService.findAll(pageNum,pageSize);
    // 封裝分頁bean
   
PageInfo<SysUser> pageInfo = new PageInfo<>(userList);

    ModelAndView mv = new ModelAndView();
    mv.setViewName("user-list");
    mv.addObject("pageInfo",pageInfo);
    return mv;
}

 

 

1.1.3     頁面獲取用戶信息

1.1.3.1         如何獲取?

(1)       SecurityContext對象會存入到HttpSession對象中,怎麼證實這一點呢?

咱們只須要在任意一個jsp頁面寫上${sessionScope}就能夠看到session裏面的所有內容。

 

{SPRING_SECURITY_CONTEXT=

org.springframework.security.core.context.SecurityContextImpl@443cd45f: Authentication: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@443cd45f: Principal: org.springframework.security.core.userdetails.User@231bff: Username: Jack; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_USER; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@2cd90: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: 02D659915CA438267B59625611AB657A; Granted Authorities: ROLE_USER}

 

 

1.1.3.2         方式1:EL

在jsp頁面獲取用戶名,使用EL表達式:

${sessionScope.

SPRING_SECURITY_CONTEXT.authentication.principal.username}

 

 

1.1.3.3         方式2:security標籤

使用SpringSecurity標籤獲取用戶名:

(1)       先引入標籤庫描述文件

 

 

(2)       使用標籤

<security:authentication property="principal.username" />

   

應用:

 

 

1.2   給用戶分配角色

1.2.1     需求分析

 

 

 

-- 1.2  給用戶分配角色 

-- 需求:給userId=1就是jack分配:普通用戶、管理員角色

 

-- 實現:

-- 1.先根據用戶id,刪除用戶角色表中數據

DELETE FROM sys_user_role WHERE userId=1;

-- 2.再給用戶分配角色

INSERT INTO sys_user_role(userId,roleId)VALUES(1,1);

INSERT INTO sys_user_role(userId,roleId)VALUES(1,2);

 

1.2.2     效果預覽

(1)       訪問用戶列表

 

   

 

點擊添加角色:

A.  提交到後臺controller

B.  後臺

a)   根據用戶id查詢SysUser用戶

b)   獲取用戶已經具備的角色

String roleStr = 「USER,ADMIN,」;

c)   查詢全部角色

d)   保存

 

(2)       查看用戶角色列表,若是用戶已經有響應角色,就默認選中

 

 

頁面判斷:roleStr是否有包含(USER/ADMIN), 若是有包含,就選中

(3)      最後點擊保存,給用戶添加角色

 

 

1.2.3     進入用戶角色列表頁面

1.2.3.1         修改user-list.jsp提交地址

 

 

 

 

1.2.3.2         controller

l  實現思路

(1)       須要查詢用戶

(2)       查詢用戶角色

(3)       查詢全部角色

(4)       保存以上信息,頁面回顯

(5)       注意:打斷點調試sysUser中的用戶id是否有數據.

 

/**
 *
用戶角色
 * (1)
進入用戶角色user-role-add.jsp頁面
 */
@RequestMapping("/toUserRole")
public ModelAndView toUserRole(Long id){
    // a.查詢用戶
   
SysUser sysUser = userService.findById(id);

    // b.用戶具備的角色
   
List<Role> roles = sysUser.getRoles();
    StringBuffer sb = new StringBuffer();
    String roleStr="";
    if (roles != null && roles.size()>0){
        for(Role r : roles){
            sb.append(r.getRoleName()+",");
        }// 去除最後逗號
       
roleStr = sb.substring(0,sb.length()-1);
    }

    // c.查詢全部角色
   
List<Role> roleList = roleService.findAll();

    // 返回結果封裝
   
ModelAndView mv = new ModelAndView();
    mv.addObject("user",sysUser);
    mv.addObject("roleStr",roleStr);
    mv.addObject("roleList",roleList);
    mv.setViewName("user-role-add");
    return mv;
}

 

 

(6)       寫完上面代碼,調試發現根據用戶的id查詢的SysUser對象中主鍵值爲空,由於查詢結果與延遲加載查詢結果都有相同的id值,致使影響結果的封裝。

解決以下:

    

 

 

 

1.2.3.3         user-role-add.jsp頁面

 

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>
<!-- 正文區域 -->
<section class="content"> <input type="hidden" name="userId"
  
value="${user.id}">
   <table id="dataList"
        
class="table table-bordered table-striped table-hover dataTable">
         <thead>
            <tr>
               <th class="" style="padding-right: 0px">
               <input id="selall"
                 
type="checkbox" class="icheckbox_square-blue"></th>
               <th class="sorting_asc">ID</th>
               <th class="sorting">角色名稱</th>
               <th class="sorting">角色描述</th>                         
            </tr>
         </thead>
         <tbody>
            <c:forEach items="${roleList}" var="role">
               <tr>

                  <td><input
                       
name="ids"  判斷roleStr中是否有包含role.roleName
                       
${fn:contains(roleStr,role.roleName )? 'checked':''}
                       
type="checkbox"
                       
value="${role.id}"></td>
                  <td>${role.id}</td>
                  <td>${role.roleName }</td>
                  <td>${role.roleDesc}</td>
                 
               </tr>
            </c:forEach>
         </tbody>

      </table>
<!--訂單信息/--> <!--工具欄-->
<div class="box-tools text-center">
   <button type="submit" class="btn bg-maroon">保存</button>
   <button type="button" class="btn bg-default"
     
onclick="history.back(-1);">返回</button>
</div>
<!--工具欄/--> </section>
<!-- 正文區域 /-->

 

 

 

1.2.4     保存

 

 

1.2.4.1         controller

/**
 *
用戶角色
 * (2)
給用戶添加角色
 */
@RequestMapping("/addRoleToUser")
public String addRoleToUser(Long userId,Long[] ids){
    userService.addRoleToUser(userId,ids);
    return "redirect:/user/findAll";
}

 

 

 

1.2.4.2         service

n  先解除關係,刪除中間表數據

n  再往中間表添加數據,即給用戶添加角色關係維護

@Override
public void addRoleToUser(Long userId, Long[] roleIds) {
    //1. 先刪除中間表當前用戶相關的角色數據
    //DELETE FROM sys_user_role WHERE userId=1
   
userDao.deleteUserRole(userId);

    //2. 添加用戶角色關係
   
if (roleIds != null &&roleIds.length>0){
        for(Long roleId : roleIds){
            userDao.addUserRole(userId,roleId);
        }
    }
}

 

1.2.4.3         dao

 

/**
 *
根據用戶刪除用戶角色關聯表數據
 * @param
userId 用戶主鍵
 */
@Select("delete from sys_user_role where userId=#{userId}")
void deleteUserRole(Long userId);

/**
 *
添加用戶角色關係
 * @param
userId 用戶主鍵
 * @param
roleId 角色主鍵
 */
@Insert("insert into sys_user_role(userId,roleId)values(#{userId},#{roleId})")
void addUserRole(@Param("userId") Long userId, @Param("roleId") Long roleId);

 

 

2   SpringSecurity 受權功能

2.1   在JSP頁面控制菜單權限

2.1.1     基本語法

(1)       頁面引入標籤庫文件

<%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

 

(2)       使用標籤 

<security:authorize access="hasAnyRole('ROLE_ADMIN')">
標籤訪問資源須要ROLE_ADMIN角色權限。
 

(3)       注意

由於這裏使用的是SPEL表達式,因此須要開啓表達式語言支持。

 

 

 

 

 

2.1.2     應用

2.1.2.1         指望結果

(1)       指望結果:不一樣的用戶登錄只顯示用戶有權限的功能菜單

(2)       例如:Jack是普通用戶登錄,

 

 

 

看到的就只有基礎數據模塊

 

(3)       例如:Rose是管理員登錄,

 

 

 

看到的就是系統管理模塊.

 

2.1.2.2         頁面實現

<%@ page language="java" contentType="text/html; charset=UTF-8"
   pageEncoding="UTF-8"%>
<%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

<aside class="main-sidebar">
   <!-- sidebar: style can be found in sidebar.less -->
  
<section class="sidebar">
      <!-- Sidebar user panel -->
     
<div class="user-panel">
         <div class="pull-left image">
            <img src="${pageContext.request.contextPath}/img/user2-160x160.jpg"
              
class="img-circle" alt="User Image">
         </div>
         <div class="pull-left info">
            <p>
               <security:authentication property="principal.username" />
            </p>
            <a href="#"><i class="fa fa-circle text-success"></i> 在線</a>
         </div>
      </div>

      <!-- sidebar menu: : style can be found in sidebar.less -->
     
<ul class="sidebar-menu">
         <li class="header">菜單</li>
         <li id="admin-index"><a
           
href="${pageContext.request.contextPath}/pages/main.jsp"><i
              
class="fa fa-dashboard"></i> <span>首頁</span></a></li>

         <li class="treeview">
            <security:authorize access="hasAnyRole('ROLE_ADMIN')">
               <a href="#"> <i class="fa fa-cogs"></i>
                  <span>系統管理</span> <span class="pull-right-container"> <i
                    
class="fa fa-angle-left pull-right"></i>
               </span>
               </a>
            </security:authorize>
            <ul class="treeview-menu">
               <security:authorize access="hasAnyRole('ROLE_ADMIN')">
               <li id="system-setting"><a
                 
href="${pageContext.request.contextPath}/user/findAll"> <i
                    
class="fa fa-circle-o"></i> 用戶管理
               </a></li>
               </security:authorize>
               <security:authorize access="hasAnyRole('ROLE_ADMIN')">
               <li id="system-setting"><a
                 
href="${pageContext.request.contextPath}/role/findAll"> <i
                    
class="fa fa-circle-o"></i> 角色管理
               </a></li>
               </security:authorize>
               <security:authorize access="hasAnyRole('ROLE_ADMIN')">
               <li id="system-setting"><a
                 
href="${pageContext.request.contextPath}/permission/findAll">
                     <i class="fa fa-circle-o"></i> 權限管理
               </a></li>
               </security:authorize>
               <security:authorize access="hasAnyRole('ROLE_ADMIN')">
               <li id="system-setting"><a
                 
href="${pageContext.request.contextPath}/pages/syslog-list.jsp"> <i
                    
class="fa fa-circle-o"></i> 訪問日誌
               </a></li>
               </security:authorize>
            </ul></li>


         <li class="treeview">
            <security:authorize access="hasAnyRole('ROLE_USER')">
               <a href="#">
               <i class="fa fa-cube"></i>
                  <span>基礎數據</span> <span class="pull-right-container">
                  <i class="fa fa-angle-left pull-right"></i>
               </span>
            </a>
            </security:authorize>

            <ul class="treeview-menu">

               <security:authorize access="hasAnyRole('ROLE_USER')">
               <li id="system-setting"><a
                 
href="${pageContext.request.contextPath}/product/findByPage">
                     <i class="fa fa-circle-o"></i> 產品管理
               </a></li>
               </security:authorize>

               <security:authorize access="hasAnyRole('ROLE_USER')">
               <li id="system-setting"><a
                 
href="${pageContext.request.contextPath}/order/findByPage">
                     <i class="fa fa-circle-o"></i> 訂單管理
               </a></li>
               </security:authorize>

            </ul>
         </li>

      </ul>
   </section>
   <!-- /.sidebar -->
</aside>

 

 

2.2   服務端控制權限

2.2.1     爲何須要在服務端控制權限呢?

(1)       例如普通用戶jack登錄系統, 只能看到基礎數據。

 

 

 

(2)       可是,直接在瀏覽器輸入地址,也是能夠訪問角色管理模塊的

 

 

 

 

 

2.2.2     方式1:JSR-250註解方式權限校驗

(1)       剛纔菜單沒有顯示,若是直接訪問地址欄,那麼也會進入到具體的方法中.

(2)       如今要解決這個問題:使用一些註解來實現權限校驗。

(3)       在講各類註解以前,必定必定須要先配置AOP註解的支持,

並且必定須要在springmvc.xml配置文件中配置

(4)       <!-- 開啓AOP的支持 -->

(5)       <aop:aspectj-autoproxy proxy-target-class="true"/>

(4)       完整應用

第一步:開啓Aop註解支持

 

 

 

 

第二步:JSR-250註解方式權限攔截,須要添加依賴(已經完成)

 

 

 

第三步:在spring-security.xml配置文件中開啓JSR-250的註解支持

<security:global-method-security jsr250-annotations="enabled"/>

 

第四步:在Controller的類或者方法上添加註解@RolesAllowed

 

 

           

 

 

 

 

2.2.3     方式2:SpringSecurity註解方式實現權限校驗

(1)   在spring-security.xml配置文件中開啓註解支持

<security:global-method-security secured-annotations="enabled"></security:global-method-security>

 

(2)       在Controller類或者方法添加註解@Secured

 

 

 

2.2.4     方式3:SpEL表達式方式實現權限校驗

(1)   在spring-security.xml配置文件中開啓註解支持

<!--方式3spel表達式提供的權限校驗支持-->
<security:global-method-security pre-post-annotations="enabled"></security:global-method-security>

 

(2)       在Controller類或者方法添加註解@PreAuthorize

 

 

 

3   系統日誌功能

 

 

3.1   需求

但願系統自動記錄訪問後臺controller的時間、方法、來訪者ip等信息。

 

3.2   建表

CREATE TABLE sys_log(

    id int PRIMARY KEY,

    visitTime DATE,

    username VARCHAR2(50),

    ip VARCHAR2(30),

    method VARCHAR2(200)

)

 

 

3.3   domain

public class SysLog {
    private Long id;
    private Date visitTime;
    private String username;
    private String ip;
    private String method;

 

3.4   dao

public interface ISysLogDao {
    @Insert("insert into sys_log(id,visitTime,username,ip,method) values(seq_log.nextval(),#{visitTime},#{username},#{ip},#{method})")
    void save(SysLog log);
}

 

3.5   service

3.5.1     接口

public interface ISysLogService {
    void save(SysLog sysLog);
}

 

3.5.2     實現

@Service
@Transactional
public class SysLogServiceImpl implements ISysLogService {
    @Autowired
    private ISysLogDao sysLogDao;
    @Override
    public void save(SysLog sysLog) {
        sysLogDao.save(sysLog);
    }
}

 

3.6   編寫切面類

3.6.1     先再web.xml配置監聽器

<listener>
   <listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
</listener>

而後再切面類中就能夠注入HttpServletRequest對象,獲取來訪者ip。

 

3.6.2     切面類

 

package com.itheima.utils;

import com.itheima.domain.SysLog;
import com.itheima.service.ISysLogService;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import java.util.Date;

@Component
@Aspect
public class LogAop {

    // 注入request對象(須要配置監聽器)
   
@Autowired
    private HttpServletRequest request;

    @Autowired
    private ISysLogService sysLogService;

    @Around("execution(* com.itheima.controller.*Controller.*(..))")
    public Object arount(ProceedingJoinPoint pjp) {
        //1. 獲取方法參數
       
Object[] methodArgs = pjp.getArgs();
        //2. 獲取正在執行的類和方法
        //pjp.getSignature().getName();
方法名稱
       
String methodName = pjp.getSignature().toShortString();
        //3. 獲取用戶
       
SecurityContext securityContext = SecurityContextHolder.getContext();
        Authentication authentication = securityContext.getAuthentication();
        User user = (User) authentication.getPrincipal();
        String username = user.getUsername();
        //4. 獲取ip
       
String remoteAddr = request.getRemoteAddr();
        //5. 封裝
       
SysLog log = new SysLog();
        log.setIp(remoteAddr);
        log.setMethod(methodName);
        log.setUsername(username);
        log.setVisitTime(new Date());

        try {
            // 放行,去到控制器處理請求的方法
           
Object returnValue = pjp.proceed(methodArgs);
            //方法執行後加強: 記錄日誌
           
sysLogService.save(log);
            return returnValue;
        } catch (Throwable e) {
            e.printStackTrace();
            return null;
        }
    }
}

 

3.6.3       註解掃描切面類

 

3.6.4     訪問controller測試

觀察數據庫中數據變化,

相關文章
相關標籤/搜索