如何在Maven中配置Spring Security依赖

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-config</artifactId>

<version>${spring-security.version}</version>

</dependency>

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-core</artifactId>

<version>${spring-security.version}</version>

</dependency>

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-web</artifactId>

<version>${spring-security.version}</version>

</dependency>

如不清楚可上问津平台“www.kiford.com”找我（专家）“涛声依旧”

1：导入Spring Security环境

（1）pom.xml中添加依赖

（2）web.xml添加代理过滤器

2：实现认证和授权

（1）认证：SpringSecurityUserService.java

（2）创建Service类、Dao接口类、Mapper映射文件

（3）springmvc.xml（dubbo注解扫描范围扩大）

（4）spring-security.xml

（5）springmvc.xml（导入spring-security.xml）

（6）TravelItemController类（@PreAuthorize("hasAuthority('CHECKITEM_ADD')"):完成权限）

（7）travelitem.html（如果没有权限，可以提示错误信息）

（8）导入login.html测试登录

3：显示用户名

4：用户退出

【路径】

1：pom.xml导入坐标

2：web.xml添加代理过滤器

在父工程的pom.xml中导入Spring Security的maven坐标

在meinian_web工程的web,xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProxy

在meinian_web工程中按照Spring Security框架要求提供SpringSecurityUserService，并且实现UserDetailsSercice接口

创建UserService服务接口、服务实现类、Dao接口、Mapper映射文件

【路径】

1：UserService.java 接口

2：UserServiceImpl.java 类

3：UserDao.java（使用用户id查询用户）

4：RoleDao.java （使用用户id查询角色集合）

5：PermissionDao.java（使用角色id查询权限集合）

6：UserDao.xml（使用用户id查询用户）

7：RoleDao.xml（使用用户id查询角色集合）

8：PermissionDao.xml (使用角色id查询权限集合)

使用debug跟踪调试，查看user

修改meinian_web工程中的springmvc.xml文件，修改dubbo批量扫描的包路径

之前的扫描包

现在的扫描包

此处原来扫描的包为com.atguigu.controller，现在改为com.atguigu包的目的是需要将我们上面定义的SpringSecurityUserService也扫描到，因为在SpringSecurityUserService的loadUserByUsername方法中需要通过dubbo远程调用名称为UserService的服务

【路径】

1：定义哪些链接可以放行

2：定义哪些链接不可以方向，即需要有角色、权限才可以放行

3：认证管理，定义登录账号和密码，并授权访问的角色、权限

4：设置在页面可以通过iframe访问受保护的页面，默认为不允许默认访问，需要添加security:frame-optionspolicy=”SAMEORIGIN“

【讲解】

在meinian_web工程中提供spring-security.xml配置文件

在spring-security.xml中添加

放置到<security:http auto-config="true" use-expressions="true">里面

因为我们在main.html中定义: 如果不配置springSecurity 会认为iframe访问的html页面时受保护的页面，不允许访问。

在springmvc,xml文件中引入spring-security.xml文件

在Controller的方法上加入权限 控制注解，此处以TravelItemController为例

添加页面，没有权限时提示信息设置

1.在<security:http>标签中增加<security:access-denied-handler>

2.增加自定义处理类

3.增加/pages/error/403.html页面

【路径】

1：引入js

2：定义username属性

3：使用钩子函数，调用ajax，查询登录用户(从SpringSecurity中获取)，复制username属性

4：修改页面，使用{username}显示用户信息

【讲解】

前面我们已经完成了认证和授权 *** 作，如果用户认证成功后需要在页面显示当前用户的用户名，Spring Security在认证成功后会将用户信息保存到框架提供的上下文对象中，所以此处我们就可以调用Spring Security框架提供的api获取当前用户的username 并展示到页面上

实现步骤：

第一步：在mian.html页面中修改，定义username模型数据基于VUE的数据展示用户名，发送Ajax请求获取username

(1)：引入js

(2)：定义username属性

(3)：使用钩子函数，调用ajax

(4)：修改页面

显示当前登录人

【路径】

1：在main,html中提供的退出菜单上加入超链接

2：在Spring-security.xml文件中配置

【讲解】

第一步：在main.html中提供的退出菜单上加入超链接

第二步：在Spring-security.xml文件中配置

如何使用SpringSecurity，相信百度过的都知道，总共有四种用法，从简到深为：

不用数据库，全部数据写在配置文件，这个也是官方文档里面的demo；

使用数据库，根据spring security默认实现代码设计数据库，也就是说数据库已经固定了，这种方法不灵活，而且那个数据库设计得很简陋，实用性差；

spring security和Acegi不同，它不能修改默认filter了，但支持插入filter，所以根据这个，我们可以插入自己的filter来灵活使用；

暴力手段，修改源码，前面说的修改默认filter只是修改配置文件以替换filter而已，这种是直接改了里面的源码，但是这种不符合OO设计原则，而且不实际，不可用。

基于 Filter , Servlet, AOP 实现身份认证和权限验证

虽然原理感觉会很复杂，不过没关系，通过代码的讲解，大家可以看完教程代码实现，再返回看这个简单的原理，可能会有不错的收获。

（可以在这里基于自身业务进行自定义的实现 如通过数据库，xml,缓存获取等）

1.将用户登录，权限控制分离出来，达到和其他控制、逻辑代码完全分离。

2.在控制、逻辑代码里面，可以通过spring容器的到我们登录用户的信息，可插拔性的体现。

3.自定义的权限控制访问，不但是对某个URL可 *** 控，同时可以对某个方法进行控制。

4.提供一些登录相关的 *** 作，如记住我、登录成功跳转页面设定等等。

5.安全控制性好，对并发session可控性好。

动力节点王鹤老师讲解的springsecurity教程，非常详细，而且很全面，通过案例带你快速学习Spring Security。

动力节点SpringSecurity教程-细说SpringSecurity安全框架

https://www.bilibili.com/video/BV1Bz4y1m79T

SpringSecurity教程资料下载

http://www.bjpowernode.com/?csdn

001.security-框架介绍

002.security-初探-1

003.security-初探-2

004.security-初探-3

005.security-初探-4

006.security-自定义用户名和密码

007.security-关闭验证功能

008.security-基于内存的用户信息-思路

009.security-基于内存的用户信息-定义用户

010.security-基于内存的用户信息-密码加密

011.security-基于内存用户信息的角色设置

012.security-基于内存用户信息的方法设置角色访问权限

013.security-基于内存用户信息的方法设置角色测试

014.security-基于内存用户信息的方法设置角色测步骤总结

015.security-jdbc用户信息主要接口

016.security-jdbc用户信息maven依赖

017.security-jdbc用户信息创建dao和service

018.security-jdbc用户信息测试数据访问

019.security-jdbc用户信息初始化用户表数据

020.security-jdbc用户信息实现UserDetailsService接口

021.security-jdbc用户信息测试角色和用户

022.角色-RBAC

023.角色-RBAC数据库表介绍

024.认证类UserDetailsService

025.InMemoryUserDetatilsService的创建

026.测试InMemoryUserDetailsService账号

027.创建表

028.创建Modules

029.创建JdbcUserDetailsManager对象

030.测试JdbcUserDetailsManager-1

031.测试JdbcUserDetatilsManager-2

032.设计用户角色表

033.创建Modules-自定义用户和角色

034.security-表结构介绍

035.security-自定义UserDetails实现类SysUser

036.security-创建SysUserMapper文件

037.security-添加mybatis框架配置数据

038.security-通过程序初始SysUser账号数据

039.security-手工初始角色数据

040.security-创建SysUser查询方法

041.security-创建SysRoleMapper接口和mapper文件

042.security-查询角色信息

043.security-实现UserDetailsService接口

044.security-让框架使用自定义的UserDetailsService实现

045.security-创建测试的html和Controller

046.security-设置url权限定义

047.security-设置url角色

048.security-账号过期的解决

049.security-设置密码处理方式

050.security-功能实现步骤

051.security-默认登录页面

052.security-自定义登录页面

053.security-使用自定义mylogin页面

054.security-设置自定义登录配置参数

055.security-自定义登录总结

056.security-ajax登录页面

057.security-创建SuccessHandler

058.security-创建FailureHandler

059.security-指定配置Handler

060.security-使用jackson处理json

061.security-文档总结

062.security-介绍本节内容

063.security-创建生成验证的Controller定义参数

064.security-绘制白色的背景图片

065.security-向图片写入多个文字

066.security-设置干扰线

067.security-验证生成文档

068.security-ajax请求增加code参数

069.security-过滤器介绍

070.security-创建过滤器-1

071.security-创建过滤器-2

072.security-添加自定义过滤器

073.security-总结

---