spring-security-4 （5）spring security Java配置实现自定义表单认证与授权

　　前面三篇讲解了spring security的搭建以及简单的表单认证与授权原理。本篇将实现我们自定义的表单登录与认证。

　　 本篇不会再讲项目的搭建过程，因为跟第二节的搭建如出一辙。本篇也不会将项目中所有的代码全部给出，因为代码量有点大。项目的代码被放在了github上，请拉下来根据讲解去看代码，代码的注释写的也比较详细。github地址https://github.com/wutianqi/spring_security_extend.git。另外，因为项目中使用了mysql数据库，对于表结构和数据这里截图会很明白的给出。

一、项目结构及表结构

1.项目结构

2.表结构

　　数据库名：

　　角色表（role）：

　　用户表（user）：

　　用户角色表（user_role）：

二、项目功能

　　在讲解代码之前还是要介绍一下本项目利用spring security实现的功能，便于读者分析代码。

　　1. 本项目围绕着admin.jsp，user.jsp，other.jsp展开。

　　　　　　a. admin.jsp只有admin角色的用户才可以访问，ls拥有admin角色。

　　　　　　b. user.jsp有user角色或admin角色都可以访问，zs拥有user角色。

　　　　　　c. other.jsp只要用户登录就可以访问，ww什么角色都没有。为了简单起见，项目中other.jsp就代表其他任何登录后就可以访问的路径

　　2. 用户访问受保护的页面时，会被要求登录：

　　3.用户在登录时，如果用户名或密码输入错误，会在登录页提示

　　4.登录成功后，如果有权限访问请求的页面，则会跳到该页面，比如拥有user角色的zs登录后，访问user.jsp

　　相反，如果访问只有admin角色才可以访问的admin.jsp，则会提示权限不足

　　5.点击退出登录，则会提示退出成功

　　6.不需登录就可以访问的页面，可以不登录直接访问，比如项目的index.jsp

三、代码解读

　　关于spring security认证与授权原理的讲解在前一篇讲的比较清楚了，这里不再详细介绍，这里只介绍一下自己认为比较重要的代码。如果读者有什么疑问，请留言，我会及时解答！

　　1.MySecurityConfig

　　spring secuirty提供了一种后处理bean方式提供一个自定义配置过滤器的口子，就是下面这段代码

　　这段代码对FilterSecurityInterceptor的AccessDecisionManager属性进行了自定义的配置。目的是让spring security用我们自定义的AccessDecisionManager。

　　2.MyAccessDecisionManager

　　在用户没有登录时，decide中的authentication参数是AnonymousAuthenticationToken，此时他会有ROLE_ANONYMOUS的角色，就是匿名角色。这是AnonymousAuthenticationFilter来做的。

　　这样下面这段代码就好理解了

if(authorityString.contains("ROLE_ANONYMOUS")) {
            //未登录
            throw new AccessDeniedException("未登录");
}

　　3.MyAuthenticationProvider

　　我们的MyAuthenticationProvider继承了AbstractUserDetailsAuthenticationProvider，我们自定义provider的真正认证过程实际发生在AbstractUserDetailsAuthenticationProvider的authenticate中。我们的MyAuthenticationProvider只是实现了retrieveUser来获取用户信息并在其中检查用户名是否存在，以及实现了additionalAuthenticationChecks检验用户输入的密码。其他一些诸如填充完整的Authentication的行为交给父类来做了。因为父类处理的很好所以我们无须自己再做。MySuccessHandler也是将认证成功后的处理都交给父类去处理了。

四、总结

　　要对本节的代码做到理解。上篇博文的讲解至关重要。

　　本spring security系列，只是对我们web应用中常见的表单认证与登录进行了讲解。spring security还有很多安全功能。比如方法安全，域安全等。本文没有进行讲解。想了解更多，可以查看官方文档。自己以后也会再学，到时候也会再写相关博文。

　　最后，对于本文有疑问的地方欢迎提问！

参考资料：http://www.tianshouzhi.com/api/tutorials/spring_security_4/250

　　　　　https://docs.spring.io/spring-security/site/docs/4.1.3.RELEASE/reference/htmlsingle/