认证-授权

认证：系统提供的用于识别用户身份的功能，通常提供用户名和密码进行登录其实就是在进行认证，认证的目的是让系统知道你是谁。

授权：用户认证成功后，需要为用户授权，其实就是指定当前用户可以操作哪些功能。

实现最终的权限控制，需要以下的表结构来支持

用户表t_user、权限表t_permission、角色表t_role、菜单表t_menu、用户角色关系表t_user_role、角色权限关系表t_role_permission、角色菜单关系表t_role_menu。

认证过程：只需要用户表就可以了，在用户登录时可以查询用户表t_user进行校验，判断用户输入的用户名和密码是否正确。

授权过程：用户必须完成认证之后才可以进行授权，首先可以根据用户查询其角色，再根据角色查询对应的菜单，这样就确定了用户能够看到哪些菜单。然后再根据用户的角色查询对应的权限，这样就确定了用户拥有哪些权限。所以授权过程会用到上面7张表。

Spring Security简介

Spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网：Spring Security

Spring Security入门案例

1.创建maven工程，打包方式为war,对应的maven坐标

<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId><version>5.0.5.RELEASE</version>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-config</artifactId><version>5.0.5.RELEASE</version>
</dependency>

2.配置web.xml

3.配置spring-security.xml

4.新建一个index.xml文件

运行tomcat，在地址栏访问index.htm，发现自动跳转到spring_security.xml提供的登陆界面，说明

Spring Security将项目中的所有资源都保护了起来，要访问这些资源必须要完成认证而且需要具有ROLE_ADMIN角色

<security:intercept-url pattern="/**"  access="hasRole('ROLE_ADMIN')" />

改进案例

允许匿名访问的资源

1、项目中将所有的资源（所有请求URL）都保护起来，实际环境下往往有一些资源不需要认证也可以访问(例如登录界面)，也就是可以匿名访问。

<!--http：用于定义相关权限控制指定哪些资源不需要进行权限校验，可以使用通配符
--><security:http security="none" pattern="/pages/a.html" /><security:http security="none" pattern="/paegs/b.html" /><security:http security="none" pattern="/pages/**"></security:http>

自定义登录界面

2、登录页面是由框架生成的，而项目往往会使用自己的登录页面。

使用指定的登录页面，自己设置一个登录界面放到指定路径下

修改spring-security.xml文件，指定login.html页面可以匿名访问

<security:http security="none" pattern="/login.html" />

修改spring-security.xml文件，加入表单登录信息的配置

<!--如果要使用自己指定的页面作为登陆界面，必须配置登录表单form-login：定义表单登录信息login-processing-url:框架提供的方法，页面提交的登录表单请求是由框架负责处理，不用再书写controllerdefault-target-url：认证成功后跳转目标authentication-failure-url：认证失败后跳转目标--><security:form-login login-page="/login.html"username-parameter="username"password-parameter="password"login-processing-url="/login.do"default-target-url="/index.html"authentication-failure-url="/login.html"></security:form-login>

修改spring-security.xml文件，关闭CsrfFilter过滤器

!--csrf：对应CsrfFilter过滤器disabled：是否启用CsrfFilter过滤器，如果使用自定义登录页面需要关闭此项，否则登录操作会被禁用（403）--><security:csrf disabled="true"></security:csrf>

csrf是默认登录界面的校验码，如果不关闭，则判断校验码是否合法，而自己设置的登录界面没有此校验码，比较则会产生403错误 

在数据库中查询数据

3、直接将用户名和密码配置在了配置文件中，而真实生产环境下的用户名和密码往往保存在数据库中。

UserService实现类，按照框架的要求实现了UserDetailsService接口。在spring配置文件中注册UserService，指定其作为认证过程中根据用户名查询用户信息的处理类。当进行登录操作时，spring security框架会调用UserService的loadUserByUsername方法查询用户信息，并根据此方法中提供的密码和用户页面输入的密码进行比对来实现认证操作。

UserDetials接口的实现方法User中包含参数用户名和密码

角色登录成功，但是权限不够

 

密码加密

4、在配置文件中配置的密码使用明文，这非常不安全，而真实生产环境下密码需要进行加密

常见的密码加密方式有：

3DES、AES、DES：使用对称加密算法，可以通过解密来还原出原始密码

MD5、SHA1：使用单向HASH算法，无法通过计算还原出原始密码，但是可以建立彩虹表进行查表破解

bcrypt：将salt随机并混入最终加密后的密码，验证时也无需单独提供之前的salt，从而无需单独处理salt问题

加密后的格式一般为：

$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa

第一步：在spring-security.xml文件中指定密码加密对象

<!--配置密码加密对象-->
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" /><!--认证管理器，用于处理认证操作-->
<security:authentication-manager><!--认证提供者，执行具体的认证逻辑--><security:authentication-provider user-service-ref="userService"><!--指定密码加密策略--><security:password-encoder ref="passwordEncoder" /></security:authentication-provider>
</security:authentication-manager>
<!--开启spring注解使用-->
<context:annotation-config></context:annotation-config>

第二步：修改UserService实现类

在实现类中使用自动注入后，记得在配置中开启自动注解

<!--开启spring注解使用-->
<context:annotation-config></context:annotation-config>

 配置多种校验规则

用户登录后，根据不同的角色和权限允许访问不同的页面

<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/index.jsp"  access="isAuthenticated()" />
<security:intercept-url pattern="/a.html"  access="isAuthenticated()" /><!--拥有add权限就可以访问b.html页面-->
<security:intercept-url pattern="/b.html"  access="hasAuthority('add')" /><!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
<security:intercept-url pattern="/c.html"  access="hasRole('ROLE_ADMIN')" /><!--拥有ROLE_ADMIN角色就可以访问d.html页面，注意：此处虽然写的是ADMIN角色，框架会自动加上前缀ROLE_-->
<security:intercept-url pattern="/d.html"  access="hasRole('ADMIN')" />

注解方式权限控制

Spring Security除了可以在配置文件中配置权限校验规则，还可以使用注解方式控制类中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问，此时就可以使用Spring Security框架提供的注解方式进行控制  

第一步：在spring-security.xml文件中配置组件扫描，用于扫描Controller

<mvc:annotation-driven></mvc:annotation-driven>
<context:component-scan base-package="com.itheima.controller"></context:component-scan>

第二步：在spring-security.xml文件中开启权限注解支持  

第三步：创建Controller类并在Controller的方法上加入注解进行权限控制

@PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法

退出登录状态

用户在登录之后可以如果有角色和权限可以随意访问页面，但是只要访问了退出登录界面，就会需要重新登录才能继续访问页面