1、权限既然写在配置文件中,那么数据库中只需要三个表即可。
1)t_user 用户表
2)t_role 角色表
3)t_user_role 用户角色表
2、对应的领域实体
1)用户
package cn.luxh.app.domain; /** * 用户 * @author Luxh */ public class User { private Integer id; /**帐号*/ private String account; /**密码*/ private String password; @Override public int hashCode() { return account.hashCode(); } @Override public boolean equals(Object obj) { User user = (User) obj; return this.account.equals(user.getAccount()); } //getter setter //... }
2)角色
package cn.luxh.app.domain; /** * 角色 * @author Luxh */ public class Role { private Integer id; /**角色名称*/ private String name; //getter setter //... }
3)用户-角色
package cn.luxh.app.domain; /** * 用户角色 * @author Luxh */ public class UserRole { private Integer id; /**用户id*/ private Integer userId; /**角色id*/ private Integer roleId; //getter setter //... }
3、配置文件
在web.xml文件中加上如下内容:
<!-- SpringSecurity权限框架 --> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class> org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 获取Spring Security session的生命周期--> <listener> <listener-class> org.springframework.security.web.session.HttpSessionEventPublisher </listener-class> </listener>
当然配置spring监听器的时候得把springsecurity的权限配置文件给加载进去:
<!-- 配置Spring监听器 --> <listener> <listener-class> org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:applicationContext.xml,classpath:application-security.xml</param-value> </context-param>
权限配置文件内容如下:
<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"> <!-- 登录页面不拦截 --> <http pattern="/login" security="none" /> <!-- 资源文件不拦截 --> <http pattern="/resources/**" security="none" /> <http auto-config="true" use-expressions="true" access-denied-page="/denied"> <!-- default-target-url 指定了从登录页面登录后进行跳转的页面 always-use-default-target true表示登录成功后强制跳转 authentication-failure-url 表示验证失败后进入的页面 login-processing-url 设置验证登录验证地址,如果不设置,默认是j_spring_security_check username-parameter,password-parameter 设置登录用户名和密码的请求name,默认:j_username,j_password default-target-url="/user/home" --> <form-login login-page="/login" always-use-default-target="true" authentication-success-handler-ref="successHandler" authentication-failure-handler-ref="failureHandler" /> <!-- 管理员和普通用户可以访问 --> <intercept-url pattern="/index" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" /> <!-- 管理员和普通用户可以访问 --> <intercept-url pattern="/common" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" /> <!-- 只有管理员可以访问 --> <intercept-url pattern="/admin" access="hasAnyRole('ROLE_ADMIN')" /> <!-- 退出后到登陆页面 --> <logout logout-success-url="/login" /> <!-- error-if-maximum-exceeded 后登陆的账号会挤掉第一次登陆的账号 session-fixation-protection 防止伪造sessionid攻击. 用户登录成功后会销毁用户当前的session. 创建新的session,并把用户信息复制到新session中. --> <session-management invalid-session-url="/login?error=3" session-fixation-protection="none"> <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login?error=2" /><!-- 阻止第二次登录 --> </session-management> </http> <authentication-manager alias="authenticationManager"> <authentication-provider user-service-ref="UserDetailsService"/> </authentication-manager> <beans:bean id="UserDetailsService" class="cn.luxh.app.security.UserDetailsServiceImpl" /> <!-- 登录成功业务处理 --> <beans:bean id="successHandler" class="cn.luxh.app.security.LoginAuthenticationSuccessHandler"> <beans:property name="url" value="/index"></beans:property> </beans:bean> <!-- 登录失败业务处理 --> <beans:bean id="failureHandler" class="cn.luxh.app.security.LoginAuthenticationFailureHandler"/> </beans:beans>
4、权限配置文件中用到的类
1)UserDetailsServiceImpl
package cn.luxh.app.security; import java.util.Collection; import java.util.HashSet; import java.util.List; import java.util.Set; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import cn.luxh.app.domain.Role; import cn.luxh.app.domain.User; import cn.luxh.app.persistence.RoleMapper; import cn.luxh.app.persistence.UserMapper; public class UserDetailsServiceImpl implements UserDetailsService{ private static Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class); @Autowired private UserMapper userMapper; @Autowired private RoleMapper roleMapper; /** * @param account 登录帐号 */ public UserDetails loadUserByUsername(String account) throws UsernameNotFoundException { log.info("登录账号:"+account); org.springframework.security.core.userdetails.User userDetails = null; User user = userMapper.selectByAccount(account); //账号密码错误,可以在这里手动抛出异常,让验证失败处理器AuthenticationFailureHandler进行处理 Collection<GrantedAuthority> grantedAuthorities = getGrantedAuthorities(user); boolean enables = true; boolean accountNonExpired = true; boolean credentialsNonExpired = true; boolean accountNonLocked = true; userDetails = new org.springframework.security.core.userdetails.User(user.getAccount(), user.getPassword(), enables, accountNonExpired, credentialsNonExpired, accountNonLocked, grantedAuthorities); return userDetails; } /** * 根据用户获取该用户拥有的角色 * @param user * @return */ private Set<GrantedAuthority> getGrantedAuthorities(User user) { Set<GrantedAuthority> grantedAuthorities = new HashSet<GrantedAuthority>(); List<Role> roles = roleMapper.selectByUserId(user.getId()); if(roles != null) { for(Role role : roles) { grantedAuthorities.add(new SimpleGrantedAuthority(role.getName())); } } return grantedAuthorities; } }
UserMapper和RoleMapper是我使用MyBatis访问数据库的接口。
2)LoginAuthenticationSuccessHandler
package cn.luxh.app.security; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.security.core.Authentication; import org.springframework.security.web.authentication.AuthenticationSuccessHandler; /** * 登录验证成功处理器 * @author Luxh */ public class LoginAuthenticationSuccessHandler implements AuthenticationSuccessHandler{ private static Logger log = LoggerFactory.getLogger(LoginAuthenticationSuccessHandler.class); //登录验证成功后需要跳转的url private String url; public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { log.info("登录验证成功:"+request.getContextPath()+url); //response.sendRedirect(request.getContextPath()+url); request.getRequestDispatcher(url).forward(request, response); } public void setUrl(String url) { this.url = url; } }
3)LoginAuthenticationFailureHandler
package cn.luxh.app.security; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.security.core.AuthenticationException; import org.springframework.security.web.authentication.AuthenticationFailureHandler; /** * 登录验证出错处理 * @author Luxh */ public class LoginAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException ae) throws IOException, ServletException { //根据AuthenticationException异常的类型 //进行出错业务逻辑处理 //... response.sendRedirect(request.getContextPath()+"/login"); } }
5、SpringMVC的Controller
1)LoginController
package cn.luxh.app.controller; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestParam; @Controller public class LoginController { private static Logger log = LoggerFactory.getLogger(LoginController.class); /** * 登录入口 */ @RequestMapping(value={"/","/login"}) public String login(@RequestParam(required=false) String error) { log.info("login......"); if("1".equals(error)) { log.info("验证失败!"); }else if("2".equals(error)) { log.info("你的帐号已登录,不允许重复登陆!"); }else if("3".equals(error)) { log.info("会话超时!"); } return "login"; } /** * 没有权限访问跳转url */ @RequestMapping(value="/denied") public String denied(){ log.info("denied......"); return "denied"; } /** * 超时跳转url */ @RequestMapping(value="/timeout") public String timedout(){ log.info("timeout......"); return "timedout"; } }
2)IndexController
package cn.luxh.app.controller; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; @Controller public class IndexController { private static Logger log = LoggerFactory.getLogger(IndexController.class); /** * 管理员和普通用户可以访问 */ @RequestMapping(value="/index") public String index(){ log.info("index......."); return "index"; } /** * 管理员和普通用户可以访问 */ @RequestMapping(value="/common") public String myJsp(){ log.info("common......."); return "common"; } /** * 管理员可以访问 */ @RequestMapping(value="/admin") public String admin(){ log.info("admin......."); return "admin"; } }
6、源码,不含jar包
spring3.2.2+springsecurity3.1.3+myBatis3.2.2
http://files.cnblogs.com/luxh/app3.rar
相关推荐
(4)项目除了security3的配置使用XML以外,其他基本使用注解配置完成 (5)项目采用的是5张数据表结构。前台及后台各采用了5张数据库表。当然你也可以进行修改后合并。 (6)数据库采用MYSQL 备份文件在src文件夹下...
前者是将配置文件或数据库中存储的资源(url)提取出来加工成为url和权限列表的Map供Security使用,后者提取用户名和权限组成一个完整的 (UserDetails)User对象,该对象可以提供用户的详细信息供AuthentationManager...
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证; 二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码...
利用配置文件,将用户、权限、资源(url)硬编码在xml文件中。
spring security3配置.pdf 参照网上的资料自己配了个,实现URL与权限关系动态在数据库里配置(即配置文件中不用配置URL权限控制信息),个人授权信息动态从数据库里取.
3、在myEclipse中使用maven install,运行后,可能会稍等一下,因为它在连网下载jar包,这样就不用自己去下载jar包了 4、运行后,在登录页面输入账号、密码admin就可以登录到主界面去了,这个账号的权限是可以访问树...
29.2在Spring Security中使用LDAP 221 29.3配置LDAP服务器 221 29.3.1使用嵌入式测试服务器 222 29.3.2使用绑定认证 222 29.3.3加载权限 223 29.4实现类 223 29.4.1 LdapAuthenticator实现 224 通用功能 224 认证者 ...
spring security权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,Spring-session和redis实现分布式...
主要是为了帮助大家学习SpringSecurity和SpringMvc, 1.不用再数据库建表, 2.使用了SS提供的登录方式,在输入用户名和密码时,进入到服务器后台java文件, 3.判断如果是用户名是admin 密码123,就赋予管理员权限,...
为了帮助学生理清思路把抽象的东西变的更加具体,我用Freemind 画了一幅Spring Security的一个整体概况图,从大的方向列出了配置一个Spring Security需要的一些东西,包括如何配置,配置文件中应该包括哪些东西, ...
环境搭建,进行最简单的配置。 第 II 部分 “保护web篇”。谈谈对url的权限控制。 第 III 部分 “内部机制篇”。对方法调用进行权限控制。 第 IV 部分 “ACL篇”。实现ACL(Access Control List)。 第 V 部分 ...
本文档内容为基于Spring下的权限管理,主要包含以下内容1、区分Authentication(验证)与 Authorization(授权)2、SS中的验证特点3、SS中的授权特点4、SS核心安全实现5、配置SS6、配置web.xml 7、Spring配置文件中...
本源码为基于SpringBoot和SpringSecurity的RBAC后台权限管理系统设计,共包含535个文件,其中js文件151个,java文件96个,gif图片76张,css文件66个,html文件52个,PNG图片22张,map文件14个,xml文件13个,svg文件...
案例采用spring mvc + security实现权限管理,包含有数据库文件,导入即可看到效果!
架构技术: struts2+spring3+hibernate4 + UI 组件(easyui)+Spring_security权限 配置思想: Convention 零配置(不需要任何配置文件) 优点; [1].代码生成器(单表的增删改查完美生成) 注意:包括JSP页面的生成...
此外,还包括87个svg图像文件,76个javascript文件,以及28个xml配置文件。该项目是一个基于SpringBoot,Spring Security,JWT,Vue & Element 的前后端分离权限管理系统设计源码,可能涉及用户界面设计、应用逻辑...
项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用JavaScript进行开发,同时涵盖了CSS、HTML、Java、PHP等多种语言。 文件构成:项目共包含3390个...
1、区分Authentication(验证)与 Authorization(授权) ...7、Spring配置文件中设置命名空间 8、通过数据库验证用户身份 9、完善web页面验证规则 10、自定义验证配置 11、本地化消息输出(国际化)
菜单管理:菜单列表、添加菜单、修改菜单、删除菜单、权限配置、菜单图标设置、菜单排序 角色管理:角色查询、添加角色、修改角色、删除角色 代码生成:根据表名生成bean、controller、dao、Mapper.xml、列表页、...