1：導(dǎo)入Spring Security環(huán)境
（1）pom.xml中添加依賴
（2）web.xml添加代理過濾器
2：實現(xiàn)認證和授權(quán)
（1）認證：SpringSecurityUserService.java
（2）創(chuàng)建Service類挂谍、Dao接口類瞎饲、Mapper映射文件
（3）springmvc.xml（dubbo注解掃描范圍擴大）
（4）spring-security.xml
（5）springmvc.xml（導(dǎo)入spring-security.xml）
（6）TravelItemController類（@PreAuthorize("hasAuthority('CHECKITEM_ADD')"):完成權(quán)限）
（7）travelitem.html（如果沒有權(quán)限嗅战，可以提示錯誤信息）
（8）導(dǎo)入login.html測試登錄
3：顯示用戶名
4：用戶退出

1.1導(dǎo)入Spring Security環(huán)境

【路徑】
1：pom.xml導(dǎo)入坐標
2：web.xml添加代理過濾器

1.1.1.第一步：pom.xml導(dǎo)入坐標

在父工程的pom.xml中導(dǎo)入Spring Security的maven坐標

            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-web</artifactId>
                <version>${spring.security.version}</version>
            </dependency>
            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-config</artifactId>
                <version>${spring.security.version}</version>
            </dependency>

1.1.2.第二步：web.xml添加代理過濾器

在meinian_web工程的web,xml文件中配置用于整合Spring Security框架的過濾器DelegatingFilterProxy

    <filter>
        <!--
          DelegatingFilterProxy用于整合第三方框架（代理過濾器，非真正的過濾器驮捍，真正的過濾器需要在spring的配置文件）
          整合Spring Security時過濾器的名稱必須為springSecurityFilterChain东且，
          否則會拋出NoSuchBeanDefinitionException異常
        -->
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

1.1.3.第三步：sql語句

#1 使用登錄名查詢用戶信息
SELECT * FROM t_user WHERE username='admin'
#2 傳遞用戶id查詢角色合集
SELECT r.* FROM t_role r, t_user_role ur WHERE ur.role_id = r.id AND ur.user_id=1
# 傳遞角色id查詢權(quán)限集合
SELECT p.* FROM t_permission p, t_role_permisson rp WHERE p.id = rp.permission_id AND rp.role_id = 1

實現(xiàn)認證和授權(quán)

1.2.1.第一步：SpringSecurityUserService.java

在meinian_web工程中按照Spring Security框架要求提供SpringSecurityUserService，并且實現(xiàn)UserDetailsSercice接口

package com.atguigu.security;

import com.alibaba.dubbo.config.annotation.Reference;
import com.atguigu.pojo.Permission;
import com.atguigu.pojo.Role;
import com.atguigu.service.UserService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import java.util.HashSet;
import java.util.Set;

@Component 
public class SpringSecurityUserService implements UserDetailsService {

    @Reference
    UserService userService; // 遠程調(diào)用

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 1.查詢用戶信息鲁冯，以及用戶對應(yīng)的角色色查，以及角色對應(yīng)的權(quán)限
        com.atguigu.pojo.User user = userService.findUserByUserName(username);
        if (user==null){
            // 不存在這個用戶
            return null;// 返回null給框架，框架會拋異常處理跨扮，跳轉(zhuǎn)到登錄頁面
        }
        // 2.構(gòu)建權(quán)限集合
        Set<GrantedAuthority> authorities = new HashSet<>();

        Set<Role> roles = user.getRoles(); //集合數(shù)據(jù) 由RoleDao幫忙方法來查詢得到的
        for (Role role : roles) {
            Set<Permission> permissions = role.getPermissions(); // 集合數(shù)據(jù) 有 PermissionDao幫忙方法查詢得到的
            for (Permission permission : permissions) {
                authorities.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        org.springframework.security.core.userdetails.User securityUser = 
                new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities);
        
        return securityUser; // 框架提供的User實現(xiàn)了UserDetails接口
    }
}

1.2.2.第二步：Service示惊、Dao接口、Mapper映射文件

創(chuàng)建UserService服務(wù)接口钧汹、服務(wù)實現(xiàn)類录择、Dao接口碗降、Mapper映射文件
【路徑】
1：UserService.java 接口
2：UserServiceImpl.java 類
3：UserDao.java（使用用戶id查詢用戶）
4：RoleDao.java （使用用戶id查詢角色集合）
5：PermissionDao.java（使用角色id查詢權(quán)限集合）
6：UserDao.xml（使用用戶id查詢用戶）
7：RoleDao.xml（使用用戶id查詢角色集合）
8：PermissionDao.xml (使用角色id查詢權(quán)限集合)

使用debug跟蹤調(diào)試塘秦，查看user

ad539466-82bf-4461-84ba-01f1a0e6b2f1.jpg

1.2.3.第三步：springmvc.xml

修改meinian_web工程中的springmvc.xml文件，修改dubbo批量掃描的包路徑
之前的掃描包

        <!--批量掃描 -->
    <dubbo:annotation package="com.atguigu.controller" />

現(xiàn)在的掃描包

    <!--批量掃描尊剔， 范圍要變大，不然掃描不到SpringSecurityUserService包-->
    <dubbo:annotation package="com.atguigu" />

注意：

此處原來掃描的包為com.atguigu.controller须误，現(xiàn)在改為com.atguigu包的目的是需要將我們上面定義的SpringSecurityUserService也掃描到，因為在SpringSecurityUserService的loadUserByUsername方法中需要通過dubbo遠程調(diào)用名稱為UserService的服務(wù)

1.2.4.第四步：spring-security.xml

【路徑】
1：定義哪些鏈接可以放行
2：定義哪些鏈接不可以方向奶甘，即需要有角色祭椰、權(quán)限才可以放行
3：認證管理臭家，定義登錄賬號和密碼钉赁，并授權(quán)訪問的角色臣淤、權(quán)限
4：設(shè)置在頁面可以通過iframe訪問受保護的頁面，默認為不允許默認訪問邑蒋，需要添加security:frame-optionspolicy=”SAMEORIGIN“
【講解】
在meinian_web工程中提供spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                  http://www.springframework.org/schema/beans/spring-beans.xsd
                  http://www.springframework.org/schema/mvc
                  http://www.springframework.org/schema/mvc/spring-mvc.xsd
                  http://code.alibabatech.com/schema/dubbo
                  http://code.alibabatech.com/schema/dubbo/dubbo.xsd
                  http://www.springframework.org/schema/context
                  http://www.springframework.org/schema/context/spring-context.xsd
                          http://www.springframework.org/schema/security
                          http://www.springframework.org/schema/security/spring-security.xsd">

    <!--靜態(tài)資源放行 對css不做權(quán)限判斷-->
    <security:http security="none" pattern="/css/**"/>
    <security:http security="none" pattern="/img/**"/>
    <security:http security="none" pattern="/js/**"/>
<!--    <security:http security="none" pattern="/pages/**"/>-->
    <security:http security="none" pattern="/template/**"/>
    <security:http security="none" pattern="/plugins/**"/>
    <security:http security="none" pattern="/login.html"/>

    <!-- 對控制器中的方法提供注解的權(quán)限驗證-->
    <security:global-method-security pre-post-annotations="enabled"/>

    <security:http auto-config="true" use-expressions="true">
        <security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>

        <security:form-login login-page="/login.html"
                             login-processing-url="/login.do"
                             username-parameter="username"
                             password-parameter="password"
                             default-target-url="/pages/main.html"
                             always-use-default-target="true"
                             authentication-failure-forward-url="/login.html"
        />
        <!--禁用csrf的獲取使用-->
        <security:csrf disabled="true"/>

        <security:logout logout-success-url="/login.html" logout-url="/logout.do" invalidate-session="true"/>

        <security:headers>
            <!--設(shè)置在頁面可以通過iframe訪問受保護的頁面，默認為不允許訪問-->
            <security:frame-options policy="SAMEORIGIN"/>
        </security:headers>

        <security:access-denied-handler ref="customAccessDeniedHandler"/>
    </security:http>

    <!--認證authentication(登錄)-->
    <security:authentication-manager>
        <!--使用userServiceImpl進行登錄-->
        <security:authentication-provider user-service-ref="userServiceImpl">
            <security:password-encoder ref="bcry"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <bean id="bcry" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

</beans>

在spring-security.xml中添加
放置到 <security:http auto-config="true" use-expressions="true"> 里面

        <security:headers>
            <!--設(shè)置在頁面可以通過iframe訪問受保護的頁面卿堂，默認為不允許訪問-->
            <security:frame-options policy="SAMEORIGIN"/>
        </security:headers>

因為我們在main.html中定義: 如果不配置springSecurity 會認為iframe訪問的html頁面時受保護的頁面懒棉，不允許訪問。

1.2.5.第五步: springmvc.xml

在springmvc,xml文件中引入spring-security.xml文件

    <import resource="spring-security.xml"/>

1.2.6.第六步: TravelItemController 類 授權(quán)

在Controller的方法上加入權(quán)限 控制注解策严，此處以TravelItemController為例

    @RequestMapping("/update")
    @PreAuthorize("hasAuthority('TRAVELITEM_EDIT')") // 權(quán)限校驗
    public Result update(@RequestBody TravelItem travelItem){

        try {
            travelItemService.update(travelItem);
            return new Result(true, MessageConstant.EDIT_TRAVELITEM_SUCCESS);

        } catch (Exception e) {
            e.printStackTrace();
            return new Result(false, MessageConstant.EDIT_TRAVELITEM_FAIL);

        }
    }

1.2.7第七步: CustomAccessDeniedHandler類

添加頁面妻导，沒有權(quán)限時提示信息設(shè)置
1.在<security:http>標簽中增加<security:access-denied-handler>

        <!--    自定義異常處理類    -->
        <security:access-denied-handler ref="customAccessDeniedHandler"/>

2.增加自定義處理類

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        if (isAjaxRequest(request)) {// AJAX請求,使用response發(fā)送403
            Result result = new Result(false, "無權(quán)訪問","403");
            String json = JSON.toJSONString(result);
            response.getWriter().print(json);// 不要使用prinln方法怀各，含有回車換行符
        } else{// 同步請求處理
            request.getRequestDispatcher("/pages/error/403.html").forward(request,response);
        }
    }


    /**
     * 判斷是否為ajax請求
     */
    public static boolean isAjaxRequest(HttpServletRequest request) {
        if (request.getHeader("accept").indexOf("application/json") > -1
                || (request.getHeader("X-Requested-With") != null
                && request.getHeader("X-Requested-With").equalsIgnoreCase("XMLHttpRequest"))) {
            return true;
        }
        return false;
    }

3.增加/pages/error/403.html頁面

1.2.8.第八步: 導(dǎo)入login.html頁面

1.3.顯示用戶名

【路徑】
1：引入js
2：定義username屬性
3：使用鉤子函數(shù)术浪，調(diào)用ajax，查詢登錄用戶(從SpringSecurity中獲取)硕蛹，復(fù)制username屬性
4：修改頁面硕并，使用{username}顯示用戶信息
【講解】
前面我們已經(jīng)完成了認證和授權(quán)操作，如果用戶認證成功后需要在頁面顯示當前用戶的用戶名鲤孵，Spring Security在認證成功后會將用戶信息保存到框架提供的上下文對象中普监，所以此處我們就可以調(diào)用Spring Security框架提供的api獲取當前用戶的username 并展示到頁面上
實現(xiàn)步驟：
第一步：在mian.html頁面中修改，定義username模型數(shù)據(jù)基于VUE的數(shù)據(jù)展示用戶名凯正，發(fā)送Ajax請求獲取username
(1)：引入js

<scipt src ="../js/axios-0.18.0.js">

(2)：定義username屬性
(3)：使用鉤子函數(shù)，調(diào)用ajax
(4)：修改頁面
顯示當前登錄人

1.4用戶退出

【路徑】
1：在main,html中提供的退出菜單上加入超鏈接
2：在Spring-security.xml文件中配置
【講解】
第一步：在main.html中提供的退出菜單上加入超鏈接

                                <el-dropdown-item divided>
                                        <span style="display:block;"><a href="/logout.do">退出</a></span>
                                    </el-dropdown-item>

第二步：在Spring-security.xml文件中配置

        <security:logout logout-url="/logout.do" logout-success-url="/login.html" invalidate-session="true"/>