服务器端方法级权限控制

在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。
Spring Security在方法的权限控制上支持三种类型的注解，JSR-250注解、@Secured注解和支持表达式的注解，这三种注解默认都是没有启用的，需要单独通过global-method-security元素的对应属性进行启用

JSR-250 注解

jsr-250注解有三个方法实现权限控制：@RolesAllowed、@PermitAll、@DenyAll
@RolesAllowed：表示具有定义的角色时才可以访问对应的方法
@PermitAll：允许所有角色进行访问，等于不进行权限控制
@DenyAll：此方法跟@PermitAll正好相反，表示什么角色都不能进行访问
jsr-250主要是在Controller层中指定的方法上使用

1.在 springmvc.xml 配置文件中开启

<!-- 开启注解权限控制 -->
<security:global-method-security jsr250-annotations="enabled"></security:global-method-security>

2.在pom.xml文件中导入 jsr250 的依赖

<dependency>
    <groupId>javax.annotation</groupId>
    <artifactId>jsr250-api</artifactId>
    <version>1.0</version>
</dependency>

3.在指定的方法上添加注解@RolesAllowed

@RolesAllowed({"USER", "ADMIN"})
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法只要具有 "USER", "ADMIN" 任意一种权限就可以访问。这里可以省略前缀 ROLE_ ，实际的权限可能是 ROLE_ADMIN
ROLE_USER, ROLE_ADMIN 等权限需要在 spring-security.xml 配置中定义

       <!-- 配置具体的规则
            auto-config="true"  不用自己编写登录的页面，框架提供默认登录页面
            use-expressions="false" 是否使用SPEL表达式 -->
    <security:http auto-config="true" use-expressions="false">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人，必须有的权限" -->
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN,ROLE_TEST,ROLE_PRODUCT,ROLE_ORDERS"/>
        <!-- 定义跳转的具体的页面 -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/index.jsp"
        />
        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp"/>
    </security:http>

如果没有权限的用户访问时，会跳转403错误页面，体验不太由友好，可以指定跳转页面，需要在web.xml中配置如下信息。如果用户访问了没有权限的请求地址，会跳转到指定的 403.jsp 页面
（此处有问题，无法实现跳转，暂时没找到原因）

    <error-page>
        <error-code>403</error-code>
        <location>/403.jsp</location>
    </error-page>

@Secured 注解

1.在 springmvc.xml 配置文件中开启

<!-- 开启注解权限控制 -->
<security:global-method-security secured-annotations="enabled"></security:global-method-security>

2.在指定的方法上添加注解 @Secured 注解

@Secured("ROLE_ADMIN")
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法只要具有 "ROLE_USER", "ROLE_ADMIN" 任意一种权限就可以访问。这里不可以省略前缀 ROLE_ 。
ROLE_USER, ROLE_ADMIN 等权限需要在 spring-security.xml 配置中定义（定义方式同 JSR-250 注解）

基于SPLE表达式的权限控制

1.在 springmvc.xml 配置文件中开启

<!-- 开启基于SPLE表达式的注解权限控制 -->
<security:global-method-security pre-post-annotations="enabled"></security:global-method-security>

2.在指定的方法上添加注解 @PreAuthorize 注解

@PreAuthorize("hasRole(['ROLE_ADMIN','ROLE_USER'])")
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法只要具有 "ROLE_USER", "ROLE_ADMIN" 任意一种权限就可以访问。

@PreAuthorize("authentication.principal.userName=='admin'")
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法必须是用户名为admin的用户才可以访问。

页面端标签控制权限

在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制

1.导入

1.1maven导入

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-taglibs</artifactId>
        <version>version</version>
    </dependency>

1.2页面导入

    <%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

2.常用标签

2.1authentication：可以获取当前登录的用户的信息

property： 只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，
不允许直接通过方法进行调用
htmlEscape：表示是否需要将html进行转义。默认为true。
scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认我pageContext。Jsp中拥
有的作用范围都进行进行指定
var： 用于指定一个属性名，这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存
放，默认是存放在pageConext中

2.1.1获取当前登录用户的用户名，并且显示在页面

authentication 标签的 property 属性

<security:authentication property="principal.username"></security:authentication>

2.2authorize：是用来判断普通权限的，通过判断用户是否具有对应的权限而控制其所包含内容的显示

access： 需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限
method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限，
method的默认值为GET，可选值为http请求的7种方法
url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中

2.2.1在 spring-security.xml 配置文件开启页面支持SPEL表达式

开启表达式：use-expressions="true"
开启表达式后： access 也需要使用表达式
access="hasAnyRole('ROLE_USER','ROLE_ADMIN','ROLE_TEST','ROLE_PRODUCT','ROLE_ORDERS')"

    <!--
       配置具体的规则
       auto-config="true"   不用自己编写登录的页面，框架提供默认登录页面
       use-expressions="false"  是否使用SPEL表达式
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人，必须有的角色" -->
        <security:intercept-url pattern="/**"
                                access="hasAnyRole('ROLE_USER','ROLE_ADMIN','ROLE_TEST','ROLE_PRODUCT','ROLE_ORDERS')"/>
        <!-- 定义跳转的具体的页面 -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/index.jsp"
        />
        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp"/>
    </security:http>

如果不想在配置文件开启表达式也可在配置文件添加如下 bean，配置后不开启表达式也可以

<bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />

2.2.2在页面设置对应权限可以显示的内容

authorize 标签中的 access 属性

<security:authorize access="hasRole('ROLE_USER')">
    <li id="system-setting">
        <a href="${pageContext.request.contextPath}/user/findAll?page=1&size=5"> 
            <i class="fa fa-circle-o"></i> 用户管理
        </a>
    </li>
</security:authorize>

有 ROLE_USER 权限才可以显示用户管理