[Java知识库]项目一众筹网07_01_SpringSecurity框架简介和用法、SpringSecurity负责的是 权限验证、Spring的注解模式、maven引入Spring环境、加入layUI环境

项目一众筹网07_01_SpringSecurity

01简介

现在主流的权限管理就两个，一个是SpringSecurity，一个是 Shiro


从login我们可以看出， SpringSecurity更庄重，Shiro更开放
SpringSecurity功能非常完整，他们俩就有点像 hibernate和mybatis的区别

SpringSecurity就像hibernate 功能很强，比较庄重，追求完整所以变得比较厚重，
优点也非常明显，和spring无缝连接，因为SpringSecurity就是 Spring家族的

Shiro功能没那么多，但是非常灵活，有点像mybatis



跟SpringSecurity相比Shiro也很重要，但是只是在权限管理这块，可以到了公司之后，公司有需要再现学

SpringSecurity负责的是 权限验证

即用户做某一件事情的时候，系统是不是允许你做这件事

做这样一个比对


SpringSecurity还可以做你有没有登录 这样的验证操作
我们之前写的 登录验证、密码加密其实都可以用SpringSecurity 来完成，
并且对于之前我们写的那样，SpringSecurity是一种升级
只是我们需要去配合springSecurity

注意：SpringSecurity 并不是 必须的，没有它也可以实现权限管理，
只是可能没有这么专业和优秀，这只是一种框架，也很多公司都使用了，
所以我们有必要学习

02-SpringSecurity简介

使用了springSecurity后就算你账号密码对了，但是你没有权限也可以让你登录不进来
毕竟没有角色，没有权限，你登录进来也没啥用，干脆不让你进来了
这就是说的必须是一个完整的主体

03-Spring的注解模式

新建一个工程



不需要web工程

maven引入Spring环境

新建一个类





以上完全没有使用xml文件，都是靠注解完成的

04-准备测试环境

springBoot 也是完全舍弃了xml文件，直接使用注解的开发方式

所以springBoot 是没有xml文件的，直接使用注解开发

创建一个maven工程，加入springMvc的环境



加入依赖【具体可以看源码】

	<dependencies>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
			<version>4.3.20.RELEASE</version>
		</dependency>
		<!-- 引入Servlet容器中相关依赖 -->
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>servlet-api</artifactId>
			<version>2.5</version>
			<scope>provided</scope>
		</dependency>

		<!-- JSP页面使用的依赖 -->
		<dependency>
			<groupId>javax.servlet.jsp</groupId>
			<artifactId>jsp-api</artifactId>
			<version>2.1.3-b06</version>
			<scope>provided</scope>
		</dependency>
	</dependencies>

创建一个 SpringMvc 配置文件

复制一下，可以看源码
（这里需要注意，SpringSecurity的配置我们使用基于注解的开发方式，其它的还是用xml的配置文件的方式）

新建一个配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:mvc="http://www.springframework.org/schema/mvc"
	xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-4.3.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.3.xsd">

	<context:component-scan
		base-package="com.atguigu.security"></context:component-scan>

	<bean
		class="org.springframework.web.servlet.view.InternalResourceViewResolver">
		<property name="prefix" value="/WEB-INF/views/"></property>
		<property name="suffix" value=".jsp"></property>
	</bean>

	<mvc:annotation-driven></mvc:annotation-driven>
	<mvc:default-servlet-handler />

</beans>

粘贴完毕后

接下来再到web.xml里面去配置DispatcherServlet里面配置xml

复制粘贴【看源码】

再接下来就是创建包

可以去源码里面把这些代码拷贝过来

==@GetMapping 就是 @RequestMapping 把请求方式设置为了get ==

然后依次粘贴

把之前的项目先移除

运行我们这个新的

现在页面都是假的，随便可以登录


点一下可以去一个页面

我们仔细分析会发现

就只有后面的参数不一样
那么，现在的问题是什么呢
问题就在于，是怎么做到的
这个其实是一个参数，我们了解一下源码



这都配置好了
我们要做的就是测试，怎么让SpringSecurity 来接管我们的权限控制

05-加入SpringSecurity环境

		<!-- SpringSecurity对Web应用进行权限管理 -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>4.2.10.RELEASE</version>
		</dependency>

		<!-- SpringSecurity配置 -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>4.2.10.RELEASE</version>
		</dependency>

		<!-- SpringSecurity标签库 -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
			<version>4.2.10.RELEASE</version>
		</dependency>

首先加入依赖

光加入依赖还不行，后面还有其它的操作

	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

最后一步就是：加入配置类

这里需要注意，我们的代码要生效的前提是必须要借助这个扫描包


到现在为止，我们再测一下，之前能访问的页面现在就都不能访问了
因为已经进行了权限控制，需要给它开放
我们重新运行一下程序看看

直接就跳转到了登录的页面

因为现在没有账号密码，所以你添什么都是错的

所有的资源都被控制住了，全部都不能访问
我们整理一下代码，如下

06-实验1-放行首页和静态资源（下一篇）

07-实验2-指定登录页面
08-实验3-思路
09-实验3-操作
10-实验3-CSRF介绍
11-实验4-退出-禁用CSRF时的做法
12-实验4-退出-启用CSRF时的做法
13-实验5-基于角色或权限访问控制
14-实验5-基于角色或权限访问控制-ROLE前缀
15-实验5-基于角色或权限访问控制-ROLE的坑
16-实验6-自定义403页面
17-实验7-记住我-内存版
18-实验8-记住我-数据库版
19-实验9-数据库登录-默认实现介绍
20-实验9-数据库登录-创建UserDetailsService类
21-实验9-数据库登录-装配UserDetailsService