maven坐标

<dependencies>
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-web</artifactId>
		<version>5.0.1.RELEASE</version>
	</dependency>	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-config</artifactId>
		<version>5.0.1.RELEASE</version>
	</dependency>
</dependencies>

 

web.xml : Delegating(委托)Filter(过滤器) Proxy(代理) DelegatingFilterProxy委托过滤器代理

作用:拦截用户的请求,并把请求交给SpringSecurity来处理。

<filter>
<!-- filter-name的值是springSecurityFilterChain,不允许修改-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping> 
springsecurity.xml
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="
        http://www.springframework.org/schema/beans        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">

<!--认证:who are you? 登陆
(1)数据库用户表存入的用户名和密码
(2)用户在登陆页面输入的用户名和密码
(3)判断
授权 what can you do?
(4)访问某一个资源需要的角色/权限
(5)当前登陆用户具有的角色/权限
(6)判断-->

<!--
        auto-config="true"
            SpringSecurity就会自动提供一个登陆页面
           (2)用户在登陆页面输入的用户名和密码
    -->
    <security:http use-expressions="true" auto-config="true">
        <!--(4)访问某一个资源需要的角色/权限
            hasRole('') :访问该资源需要什么角色
            hasAnyRole('','','',..): 访问该资源需要指定所有角色中的任何一个
            hasAuthority('')  访问该资源需要什么权限
            hasAnyAuthority('','','',...) 访问该资源需要指定所有权限中的任何一个
            isAnonymous():  游客访问权限
            isAuthenticated(): 要认证通过后才能访问
            hasIpAddress() : 指定具体的IP才能访问该资源
        -->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>
    </security:http>    <!--
        authentication:认证
        authorization: 授权
     -->    <security:authentication-manager>
        <security:authentication-provider>
            <!--


(1)数据库用户表存入的用户名和密码
(5)当前登陆用户具有的角色/权限

-->
            <security:user-service>
                <security:user name="admin" password="{noop}admin" authorities="ROME_ADMIN"/>
                <security:user name="root" password="{noop}root" authorities="ROME_ROOT"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>    <!--


1.项目启动
2.访问项目中的资源
3.web.xml(DelegatingFilerProxy)给拦截,拦截以后交给SpringSecurity来处理
4. 判断:资源l和 <security:intercept-url pattern="/**"/>是否匹配
4.1不匹配:直接放行
4.2匹配: <security:intercept-url access="hasRole('ROLE_ADMIN')"/>
5.获取当前登陆的用户是谁?-auto-config="true"为用户提供一个登陆页面 [username,password]
6.用户在登陆页面输入用户名和密码,
点击登陆,springSecurity判断用户输入的用户名和密码和后台的用户名密码是否一致
<security:user-service> [username,password]
7.判断,两个用户名和密码是否一致
不一致: 返回登陆页面提示错误信息,让用户重新输入
一致: 获取到当前登陆的用户,并从<security:user>获取到当前用户具有的角色/权限
8.判断当前用户具有的角色/权限中是否包含访问/index.html资源所需要的角色/权限
无:报错,403 无权限访问的
有 :放行,继续访问。

-->
</beans> 
<!--白名单-->
<security:http security="none" pattern="要放行的资源路径"/>

 

 

我的XML文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                  http://www.springframework.org/schema/beans/spring-beans.xsd
                  http://www.springframework.org/schema/mvc
                  http://www.springframework.org/schema/mvc/spring-mvc.xsd
                  http://code.alibabatech.com/schema/dubbo
                  http://code.alibabatech.com/schema/dubbo/dubbo.xsd
                  http://www.springframework.org/schema/context
                  http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置哪些资源匿名可以访问(不登录也可以访问)-->
    <!--<security:http security="none" pattern="/pages/a.html"></security:http>
    <security:http security="none" pattern="/pages/b.html"></security:http>-->
    <!--<security:http security="none" pattern="/pages/**"></security:http>-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则,/** 表示拦截所有请求-->
        <!--
            pattern:描述拦截规则
            asscess:指定所需的访问角色或者访问权限
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="../pages/**"  access="isAuthenticated()" />

        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
        <!--
            login-page:指定登录页面访问URL
        -->
        <security:form-login
                login-page="/login.html"
                username-parameter="username"
                password-parameter="password"
                login-processing-url="/login.do"
                default-target-url="/pages/main.html"
                authentication-failure-url="/login.html"></security:form-login>

        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--
                    配置一个具体的用户,后期需要从数据库查询用户
            <security:user-service>
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            </security:user-service>
            -->
            <!--指定度密码进行加密的对象-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

最后一定要在controller中加入权限校验的注解
 @PreAuthorize("hasAuthority('CHECKITEM_DELETE')")

项目中的数据之类的调用如此,成功的话我们会接收到403错误,这样的话直接可以在前端页面接收进行判断
catch((error)=>{
    if(error=="Error: Request failed with status code 403"){
        this.$message.error("权限不足");
    }else{
        this.$message.error("网络异常,请重试");
    }
(我的前端使用的是Vue)