springMVC 用户登录权限验证实现过程解析

SpringMVC 用户登录权限验证实现过程解析

为什么需要用户登录权限验证

在Web应用程序中，用户登录权限验证通常被认为是必不可少的功能。这是因为在实际应用中往往会存在很多需要进行特殊权限验证的操作。

例如，用户在购物网站上进行订单提交前必须先进行登录验证，用户在博客网站上进行评论前必须先进行登录验证等等。

这些验证不仅能够保证系统的安全性，也能够使得用户获得更好的使用体验。

用户登录权限验证实现过程解析

1. 配置SpringMVC框架

实现用户登录权限验证，首先需要配置SpringMVC框架。我们需要在配置文件中指定视图解析器和控制器的处理方式：

<!-- 配置SpringMVC -->
<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
    <property name="prefix" value="/WEB-INF/views/" />
    <property name="suffix" value=".jsp" />
</bean>
<mvc:annotation-driven />
<context:component-scan base-package="com.example.controller" />

2. 创建登录表单页面

接下来，我们需要创建一个登录表单页面，让用户输入登录信息并提交到系统后台进行验证。我们可以使用HTML和JSP编写：

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %>
<!DOCTYPE html>
<html>
<head>
    <title>用户登录</title>
    <meta charset="UTF-8">
</head>
<body>
    <form action="/user/login" method="post">
        <input type="text" name="username" placeholder="用户名">
        <input type="password" name="password" placeholder="密码">
        <input type="submit" value="登录">
    </form>
</body>
</html>

3. 创建控制器

创建一个控制器类来处理登录请求，并在这里进行登录验证逻辑。我们可以在控制器中引入Spring Security框架，使用它来完成登录认证：

@Controller
@RequestMapping("/user")
public class UserController {

    private final UserService userService;

    @Autowired
    public UserController(UserService userService) {
        this.userService = userService;
    }

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public String login(@RequestParam("username") String username,
                        @RequestParam("password) String password) {
        Authentication authentication = new UsernamePasswordAuthenticationToken(username, password);
        Authentication authenticated = authenticationManager.authenticate(authentication);
        SecurityContextHolder.getContext().setAuthentication(authenticated);
        return "redirect:/home";
    }
}

4. 配置Spring Security

为了完成用户登录验证，我们需要配置Spring Security。我们通过一个配置类完成相关配置：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    private final UserService userService;

    @Autowired
    public WebSecurityConfig(UserService userService) {
        this.userService = userService;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin().loginPage("/user/login").permitAll()
            .and()
            .logout().permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }
}

5. 创建用户Service

我们需要创建一个用户Service，并实现UserDetailsService接口：

@Service
public class UserServiceImpl implements UserService, UserDetailsService {

    //..省略其他代码

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userDao.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        return new org.springframework.security.core.userdetails.User(
            user.getUsername(), user.getPassword(), getAuthorities(user));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(User user) {
        Set<String> roles = userDao.findRolesByUsername(user.getUsername());
        return roles.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
    }
}

示例说明一：权限控制

例如，我们要控制用户只能访问某些URL路径时，我们可以在WebSecurityConfig类中添加以下代码：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/home/**").hasRole("USER")
        .anyRequest().authenticated()
        .and()
        .formLogin().loginPage("/user/login").permitAll()
        .and()
        .logout().permitAll();
}

示例说明二：记住我的实现

我们还可以配置Spring Security，让用户在登录后记录自己的登录状态（即记住我功能）。我们可以在WebSecurityConfig类中添加以下代码：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/home/**").hasRole("USER")
        .anyRequest().authenticated()
        .and()
        .formLogin().loginPage("/user/login").permitAll()
        .and()
        .rememberMe()
        .key("uniqueAndSecret")
        .rememberMeParameter("remember-me")
        .tokenValiditySeconds(7 * 24 * 60 * 60)
        .userDetailsService(userService)
        .and()
        .logout().permitAll();
}

这段代码用于配置记住我的相关信息，其中，key属性是一个字符串，用于生成记住我的令牌；rememberMeParameter属性表示记住我的复选框的参数名称；tokenValiditySeconds表示令牌的有效期；userDetailsService表示用户的Service，用于从数据库获取用户信息。