SpringSecurity之授权

1. 写在前面的话

此文并非教程, 而是个人学习SpringSecurity时的记录以及一些踩坑解决

如果能帮到大家, 那就让人非常开心了

另外, SpringSecurity的授权分为web授权和方法授权, 本文只说明了web授权, 方法授权实际上就是SpringSecurity控制对方法和接口的访问, 需要学习的小伙伴可以自行学习, 笔者在今后的工作中如果用到的话也会回来添加相关内容

好了, 让我们看看笔者的一些学习心得吧

2. web授权

个人认为授权较之认证简单了许多, 大概是本人在认证把该踩的坑都踩了一遍吧...

首先, 我们需要建立数据库

1. 建库

我们需要以下的几张表

SpringSecurity之授权-LMLPHP

  • 角色表

    SpringSecurity之授权-LMLPHP

  • 权限表

    SpringSecurity之授权-LMLPHP

  • 用户表(这个在认证中已经建立了)

    SpringSecurity之授权-LMLPHP

  • 角色权限关联表 (此处为管理员有1和2两个权限)

    SpringSecurity之授权-LMLPHP

  • 用户角色关联表

    SpringSecurity之授权-LMLPHP

    • 关联表是为了方便拓展, 正常的业务都是这样的, 存在一对多和多对多的关系

2. 添加查询权限的接口

权限的信息也是存放在UserDetails中的, 因此我们也要实现通过用户id查询用户对应权限的功能

  • 建立对应的实体类(此处省略)

    SpringSecurity之授权-LMLPHP

  • 添加接口以及其实现类

    • dao

      //根据用户id查询用户权限
      List<PermissionDTO> getPermissionByUserId(String userId);
      
    • service接口

      List<PermissionDTO> getPermissionByUserId(String userId);
      
    • 接口实现类

      @Override
      public List<PermissionDTO> getPermissionByUserId(String userId) {
          return userMapper.getPermissionByUserId(userId);
      }
      
  • 在xml中添加查询的sql

    <!--根据用户id查询用户权限-->
    <select id="getPermissionByUserId" parameterType="string" resultType="permissionDTO">
        select *
        from t_permission
        where `id` in (
            select permission_id from t_role_permission
            where role_id = (
                select role_id from t_user_role
                where user_id = #{userId}
            )
        )
    </select>
    
    • 注意, 这里我们使用了子查询, 同时, 由于会查出多条结果, 我们要酌情考虑是否要使用 in 语句, 将多个结果放在select语句的条件中

3. 前端页面的编写

我们使用的是 layui的默认后端模板

  • 模板的定义

    先编写一个后台模板文件

    <!DOCTYPE html>
    <html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
    <head>
        <meta charset="utf-8">
        <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
        <title>layout 后台大布局 - Layui</title>
        <link rel="stylesheet" th:href="@{css/layui.css}">
    </head>
    <body class="layui-layout-body">
    <div class="layui-layout layui-layout-admin">
        <div class="layui-header">
            <div class="layui-logo">layui 后台布局</div>
            <!-- 头部区域(可配合layui已有的水平导航) -->
            <ul class="layui-nav layui-layout-left">
                <li class="layui-nav-item"><a href="">控制台</a></li>
                <li class="layui-nav-item"><a href="">商品管理</a></li>
                <li class="layui-nav-item"><a href="">用户</a></li>
                <li class="layui-nav-item">
                    <a href="javascript:;">其它系统</a>
                    <dl class="layui-nav-child">
                        <dd><a href="">邮件管理</a></dd>
                        <dd><a href="">消息管理</a></dd>
                        <dd><a href="">授权管理</a></dd>
                    </dl>
                </li>
            </ul>
            <ul class="layui-nav layui-layout-right">
                <li class="layui-nav-item">
                    <a href="javascript:;">
                        <img src="http://t.cn/RCzsdCq" class="layui-nav-img">
                        <span sec:authentication="principal.username"></span>
                    </a>
                    <dl class="layui-nav-child">
                        <dd><a href="">基本资料</a></dd>
                        <dd><a href="">安全设置</a></dd>
                    </dl>
                </li>
                <li class="layui-nav-item"><a id="logout" href="javascript:void(0);" onclick="logout()">退了</a></li>
            </ul>
        </div>
    
        <div class="layui-side layui-bg-black">
            <div class="layui-side-scroll">
                <!-- 左侧导航区域(可配合layui已有的垂直导航) -->
                <ul class="layui-nav layui-nav-tree" lay-filter="test">
                    <li class="layui-nav-item layui-nav-itemed">
                        <a class="" href="javascript:;">所有商品</a>
                        <dl class="layui-nav-child">
                            <dd><a href="javascript:;">列表一</a></dd>
                            <dd><a href="javascript:;">列表二</a></dd>
                            <dd><a href="javascript:;">列表三</a></dd>
                            <dd><a href="">超链接</a></dd>
                        </dl>
                    </li>
                    <li class="layui-nav-item">
                        <a href="javascript:;">解决方案</a>
                        <dl class="layui-nav-child">
                            <dd><a href="javascript:;">列表一</a></dd>
                            <dd><a href="javascript:;">列表二</a></dd>
                            <dd><a href="">超链接</a></dd>
                        </dl>
                    </li>
                    <li class="layui-nav-item"><a href="">云市场</a></li>
                    <li class="layui-nav-item"><a href="">发布商品</a></li>
                </ul>
            </div>
        </div>
    
        <!--    <div class="layui-body">-->
        <!--        &lt;!&ndash; 内容主体区域 &ndash;&gt;-->
        <!--        <div style="padding: 15px;">内容主体区域</div>-->
        <!--    </div>-->
    
        <div class="layui-footer">
            <!-- 底部固定区域 -->
            © layui.com - 底部固定区域
        </div>
    </div>
    <script type="text/javascript" th:src="@{js/jquery.min.js}"></script>
    <script type="text/javascript" th:src="@{js/jquery-ui.min.js}"></script>
    <script type="text/javascript" th:src="@{js/jquery.mockjax.js}"></script>
    <script th:src="@{layui.js}"></script>
    <script>
        //JavaScript代码区域
        layui.use('element', function () {
            var element = layui.element;
    
        });
    
        function logout() {
            layui.use('layer', function () {
                //退出登录
                layer.confirm('确定要退出么?', {icon: 3, title: '提示'}, function (index) {
                    //do something
                    let url = '/logout';
                    $.ajax({
                        url: url,
                        type: "post",
                        dataType: "json",
                        contentType: "application/json;charset=utf-8",
                        success: function (data) {
                            alert("进入success---");
                            let code = data.code;
                            let url = data.url;
                            let msg = data.msg;
                            if (code == 203) {
                                alert(msg);
                                window.location.href = url;
                            } else {
                                alert("未知错误!");
                            }
                        },
                        error: function (xhr, textStatus, errorThrown) {
                            alert("进入error---");
                            alert("状态码:" + xhr.status);
                            alert("状态:" + xhr.readyState); //当前状态,0-未初始化,1-正在载入,2-已经载入,3-数据进行交互,4-完成。
                            alert("错误信息:" + xhr.statusText);
                            alert("返回响应信息:" + xhr.responseText);//这里是详细的信息
                            alert("请求状态:" + textStatus);
                            alert(errorThrown);
                            alert("请求失败");
                        }
                    });
                    layer.close(index);
                });
            });
        }
    </script>
    </body>
    </html>
    
    • 注意
      • 我们为了获得SpringSecurity中的用户名, 使用了SpringSecurity的thymeleaf方言, 可以实现细粒度的控制(依据权限是否显示某些标签)
      • 引入命名空间, 这样就有代码提示了(不引入其实也无所谓~) xmlns:sec="http://www.thymeleaf.org/extras/spring-security"
  • 测试用页面

    为了测试权限, 我们定义了三个按钮, 分别对应三个权限(我们在下一节的SpringSecurity配置类中可以看到)

    <!DOCTYPE html>
    <html lang="en" xmlns:th="http://www.thymeleaf.org">
    <head>
        <meta charset="UTF-8">
        <title>页面</title>
    </head>
    <body class="layui-layout-body">
    
    <div th:include="content/layout"></div>
    
    <div class="layui-layout layui-layout-admin">
        <div class="layui-body">
            <!-- 内容主体区域 -->
            <div style="padding: 15px;">成功应用模板!</div>
            <div class="layui-btn-container">
                <button type="button" class="layui-btn" onclick="btnClick1()">按钮一</button>
                <button type="button" class="layui-btn" onclick="btnClick2()">按钮二</button>
                <button type="button" class="layui-btn" onclick="btnClick3()">按钮三</button>
            </div>
        </div>
    </div>
    <script>
        $.ajaxSetup({
            type: "post",
            dataType: "json",
            contentType: "application/json;charset=utf-8",
            success: function (data) {
                let code = data.code;
                let url = data.url;
                let msg = data.msg;
                if (code == 204) {
                    alert(msg);
                    window.location.href = url;
                } else {
                    alert("未知错误!");
                }
            },
            error: function (xhr, textStatus, errorThrown) {
                alert("进入error---");
                alert("状态码:" + xhr.status);
                alert("状态:" + xhr.readyState); //当前状态,0-未初始化,1-正在载入,2-已经载入,3-数据进行交互,4-完成。
                alert("错误信息:" + xhr.statusText);
                alert("返回响应信息:" + xhr.responseText);//这里是详细的信息
                alert("请求状态:" + textStatus);
                alert(errorThrown);
                alert("请求失败");
            }
        });
    
        function btnClick1() {
            let url = "/toR1";
            $.ajax({
                url: url,
                type: "post",
                dataType: "json",
                contentType: "application/json;charset=utf-8",
    
            });
        }
    
        function btnClick2() {
            let url = "/toR2";
            $.ajax({
                url: url,
                type: "post",
                dataType: "json",
                contentType: "application/json;charset=utf-8",
    
            });
        }
    
        function btnClick3() {
            let url = "/toR3";
            $.ajax({
                url: url,
                type: "post",
                dataType: "json",
                contentType: "application/json;charset=utf-8",
    
            });
        }
    </script>
    </body>
    </html>
    

4. SpringSecurity配置

//授权
http
        .authorizeRequests()
        .antMatchers("/r/r1").hasAnyAuthority("p1")
        .antMatchers("/r/r2").hasAnyAuthority("p2")
        .antMatchers("/r/r3").access("hasAuthority('p1') and hasAuthority('p2')")
        .antMatchers("/r/**").authenticated().anyRequest().permitAll();

在配置类中配置授权的规则

注意

  • Authority和Role都是角色管理, 区别是Role会加一个 ROLE_ 前缀, 具体的区别可以在网上自行查看, 一般来说, 我们使用Authority就行了

5. Controller配置

  • RestController处理AJAX
package com.wang.spring_security_framework.controller;

import com.alibaba.fastjson.JSON;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.HashMap;
import java.util.Map;

@RestController
public class RestfulJumpController {
    @RequestMapping("/toR1")
    public String toR1Page() {
        String url = "/r/r1";
        String code = "204";
        String msg = "即将跳转!";
        Map<String, String> resultMap = new HashMap<>();
        resultMap.put("url", url);
        resultMap.put("code", code);
        resultMap.put("msg", msg);
        return JSON.toJSONString(resultMap);
    }

    @RequestMapping("/toR2")
    public String toR2Page() {
        String url = "/r/r2";
        String code = "204";
        String msg = "即将跳转!";
        Map<String, String> resultMap = new HashMap<>();
        resultMap.put("url", url);
        resultMap.put("code", code);
        resultMap.put("msg", msg);
        return JSON.toJSONString(resultMap);
    }

    @RequestMapping("/toR3")
    public String toR3Page() {
        String url = "/r/r3";
        String code = "204";
        String msg = "即将跳转!";
        Map<String, String> resultMap = new HashMap<>();
        resultMap.put("url", url);
        resultMap.put("code", code);
        resultMap.put("msg", msg);
        return JSON.toJSONString(resultMap);
    }

}

我们用RestController处理了Ajax的跳转请求, 并返回了JSON信息, 让前端进行url跳转

  • 测试的授权Controller

这里的Controller用于显示对应的资源目录下的一些内容, 其中我们从会话中获取了当前登录的用户名

package com.wang.spring_security_framework.controller;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/r")
public class AuthorizeTestController {

    //从会话中获取当前登录用户名
    private String getUserName(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        //未登录, 返回null
        if(!authentication.isAuthenticated()) {
            return null;
        }
        Object principal = authentication.getPrincipal();
        String username;
        if (principal instanceof UserDetails) {
            username = ((UserDetails) principal).getUsername();
        } else {
            username = principal.toString();
        }
        return username;
    }

    @RequestMapping("/r1")
    public String R1() {
        return getUserName() + "访问资源1";
    }

    @RequestMapping("/r2")
    public String R2() {
        return getUserName() + "访问资源2";
    }

    @RequestMapping("/r3")
    public String R3() {
        return getUserName() + "访问资源3";
    }
}

3. 结语

本篇看起来很简单, 事实上也确实很简单......

主要需要理解的是数据库的建立以及关联表的处理, 其中的SQL语句才是最难搞的

访问没有授权的页面, 会爆出 405 错误, 我们可以自定义错误页面来处理这种错误(此处就不叙述了, 属于SpringBoot的内容~)

欢迎小伙伴批评与交流~

11-24 20:21