参考文章：https://segmentfault.com/a/1190000010672041

因为Spring Security默认都是在程序的配置类或者配置文件写死哪些资源受哪些角色（权限）控制，要想随时更改就很麻烦，所以着手把它修改为从数据库中动态读取
一、构建表
数据库我构建了role和url两张表，分别储存角色信息和保护资源分配信息
@Entity
public class Role implements GrantedAuthority,ConfigAttribute {

	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	private Long id;

	@Column(nullable = false)
	private String name;

	public Long getId() {
		return id;
	}

	public void setId(Long id) {
		this.id = id;
	}

	@Override
	public String getAuthority() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	public String getName() {
		return name;
	}

	@Override
	public String getAttribute() {
		// TODO 自动生成的方法存根
		return name;
	}
	
}

@Entity
public class Url {
	
	@Id
	@GeneratedValue(generator="id")
	@GenericGenerator(name="id", strategy = "uuid")
	private String id;
	
	@Column(nullable = false)
	private String url;
	
	@Column(nullable = false)
	private String urlDetial;
	
	@Column(nullable = false)
	private Long role_id;
	。。。。。。。
}

1、Role的实体类记得要实现ConfigAttribute接口，后面要用到

2、Url表只储存受保护的资源，不在表里的资源说明不受保护，任何人都可以访问
二、配置MetadataSource
FilterInvocationSecurityMetadataSource是用于设置受保护资源的权限信息的数据源，可以理解为获得能访问当前资源的角色有哪些
@Component
//用于设置受保护资源的权限信息的数据源
public class MyFilterInvocationSecurityMetadataSource implements
		FilterInvocationSecurityMetadataSource {
	
	@Bean
	public AntPathMatcher getAntPathMatcher(){
		return new AntPathMatcher();
	}

	@Autowired
	private UrlService urlService;

	@Autowired
	private RoleService roleService;

	@Autowired
	private AntPathMatcher antPathMatcher;

	@Override
	/*
	 * @param 被调用的保护资源
	 * @return 返回能够访问该保护资源的角色集合，如果没有，则应返回空集合。
	 */
	public Collection<ConfigAttribute> getAttributes(Object object)
			throws IllegalArgumentException {
		FilterInvocation fi = (FilterInvocation) object;
		//获取用户请求的Url
		String url = fi.getRequestUrl();
		//先到数据库获取受权限控制的Url
		List<Url> us = urlService.queryAll();
		//用于储存用户请求的Url能够访问的角色
		Collection<ConfigAttribute> rs=new ArrayList<ConfigAttribute>();
		for(Url u:us){
			//逐一判断用户请求的Url是否和数据库中受权限控制的Url有匹配的
			if(antPathMatcher.match(u.getUrl(),url))
				//如果有则将可以访问该Url的角色储存到Collection<ConfigAttribute>
				rs.add(roleService.queryById(u.getRole_id()));
		}
		if(rs.size()>0)
			return rs;
		//没有匹配到,就说明此资源没有被控制，所有人都可以访问，返回null即可，返回null则不会进入之后的decide方法
		return null;
	}

	@Override
	public Collection<ConfigAttribute> getAllConfigAttributes() {
		// TODO 自动生成的方法存根
		return null;
	}

	@Override
	public boolean supports(Class<?> clazz) {
		// TODO 自动生成的方法存根
		return FilterInvocation.class.isAssignableFrom(clazz);
	}

}


1、代码中有用到一个AntPathMatcher的类，它的作用是用正则表达式来匹配Url,如请求的Url是“/css/readme.txt”,url表里有一条受保护的Url为“/css/**”,
antPathMatcher.match("/css/readme.txt","/css/**")

这样就可以比较请求的Url是否是受保护的资源信息；
2、因为getAttributes()方法规定要返回Collection集合，而我代码里从数据库里获得的角色信息是Role对象的集合，所以要让Role对象实现ConfigAttribute接口才能符合接口的要求
三、配置AccessDecisionManager
AccessDecisionManager是用于设置判断当前用户是否可以访问被保护资源的逻辑
@Component
//用于设置判断当前用户是否可以访问被保护资源的逻辑
public class MyAccessDecisionManager implements AccessDecisionManager {

	@Override
	/*
	 * @param 请求该保护资源的用户对象
	 * @param 被调用的保护资源
	 * @param 有权限调用该资源的角色集合
	 */
	public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes)
			throws AccessDeniedException, InsufficientAuthenticationException {
		Iterator<ConfigAttribute> ite = configAttributes.iterator();
		//遍历configAttributes，查看当前用户是否有对应的权限访问该保护资源
		while (ite.hasNext()) {
			ConfigAttribute ca = ite.next();
			String needRole = ca.getAttribute();
			for (GrantedAuthority ga : authentication.getAuthorities()) {
				if (ga.getAuthority().equals(needRole)) {
					// 匹配到有对应角色,则允许通过
					return;
				}
			}
		}
		// 该url有配置权限,但是当前登录用户没有匹配到对应权限,则禁止访问
		throw new AccessDeniedException("not allow");
	}

	@Override
	public boolean supports(ConfigAttribute attribute) {
		return true;
	}

	@Override
	public boolean supports(Class<?> clazz) {
		return true;
	}

}


四、配置SecurityConfig
@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Bean("FilterInvocationSecurityMetadataSource")
	public FilterInvocationSecurityMetadataSource mySecurityMetadataSource() {
		MyFilterInvocationSecurityMetadataSource securityMetadataSource = new MyFilterInvocationSecurityMetadataSource();
		return securityMetadataSource;
	}

	@Bean("AccessDecisionManager")
	public AccessDecisionManager myAccessDecisionManager() {
		return new MyAccessDecisionManager();
	}

	@Autowired
	private UrlService urlService;

	@Autowired
	private RoleService roleService;

	@Resource(name="FilterInvocationSecurityMetadataSource")
	private FilterInvocationSecurityMetadataSource mySecurityMetadataSource;

	@Resource(name="AccessDecisionManager")
	private AccessDecisionManager myAccessDecisionManager;

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.anyRequest()
				.authenticated()
				.withObjectPostProcessor(
						new ObjectPostProcessor<FilterSecurityInterceptor>() {
							public <O extends FilterSecurityInterceptor> O postProcess(
									O fsi) {
								fsi.setSecurityMetadataSource(mySecurityMetadataSource);
								fsi.setAccessDecisionManager(myAccessDecisionManager);
								return fsi;
							}
						});
	}

}

大功告成，这样就可以通过修改数据库来控制保护资源的控制

前一小节学习了如何用 Django 做动态页面，就是用 Python 显示实时时间。但是是不是觉得这样的动态页面不太实际？一般的 URL 形如 http://www.nowamagic.net/librarys/topics/detail/188 这样的，如何用 Django 实现这种动态 URL 呢？
这里我们来尝试下实现这样的 URL 。还是先上程序，再解释。
程序实现
我们创建第三个视图来显示当前时间和加上时间偏差量的时间，设计是这样的： /time/plus/1/ 显示当前时间+1个小时的页面 /time/plus/2/ 显示当前时间+2个小时的页面 /time/plus/3/ 显示当前时间+3个小时的页面，以此类推。
1. urls.py
from django.conf.urls.defaults import *
from PythonProject.views import hello, current_datetime, hours_ahead
urlpatterns = patterns('',
('^hello/$', hello),
('^time/$', current_datetime),
(r'^time/plus/(\d{1,2})/$', hours_ahead),
)
2. views.py
from django.http import Http404, HttpResponse
import datetime
def hello(request):
return HttpResponse("Hello NowaMagic")
def current_datetime(request):
now = datetime.datetime.now()
html = "
It is now %s." % now
return HttpResponse(html)
def hours_ahead(request, offset):
offset = int(offset)
dt = datetime.datetime.now() + datetime.timedelta(hours=offset)
html = "
In %s hour(s), it will be %s." % (offset, dt)
return HttpResponse(html)
现在访问 http://127.0.0.1:8000/time/plus/3/，比实际时间多了 3 小时。OK，程序通过。
程序解释
新手可能会考虑写不同的视图函数来处理每个时间偏差量，URL配置看起来就象这样：
urlpatterns = patterns('',
('^time/$', current_datetime),
('^time/plus/1/$', one_hour_ahead),
('^time/plus/2/$', two_hours_ahead),
('^time/plus/3/$', three_hours_ahead),
('^time/plus/4/$', four_hours_ahead),
)
很明显，这样处理是不太妥当的。 不但有很多冗余的视图函数，而且整个应用也被限制了只支持 预先定义好的时间段，2小时，3小时，或者4小时。如果哪天我们要实现 5 小时，我们就 不得不再单独创建新的视图函数和配置URL，既重复又混乱。 我们需要在这里做一点抽象，提取一些共同的东西出来。
那么，我们如何设计程序来处理任意数量的时差？ 答案是：使用通配符(wildcard URLpatterns)。正如我们之前提到过，一个URL模式就是一个正则表达式。因此，这里可以使用d+来匹配1个以上的数字。
urlpatterns = patterns('',
# ...
(r'^time/plus/\d+/$', hours_ahead),
# ...
)
这个URL模式将匹配类似 /time/plus/2/ , /time/plus/25/ ,甚至 /time/plus/100000000000/ 的任何URL。 更进一步，让我们把它限制在最大允许99个小时，这样我们就只允许一个或两个数字，正则表达式的语法就是 \d{1,2} :
(r'^time/plus/\d{1,2}/$', hours_ahead),
另外一个重点，正则表达式字符串的开头字母“r”。 它告诉Python这是个原始字符串，不需要处理里面的反斜杠(转义字符)。 在普通Python字符串中，反斜杠用于特殊字符的转义。比如n转义成一个换行符。 当你用r把它标示为一个原始字符串后，Python不再视其中的反斜杠为转义字符。也就是说，“n”是两个字符串：“”和“n”。由于反斜杠在Python代码和正则表达式中有冲突，因此建议你在Python定义正则表达式时都使用原始字符串。 从现在开始，本文所有URL模式都用原始字符串。
现在我们已经设计了一个带通配符的URL，我们需要一个方法把它传递到视图函数里去，这样 我们只用一个视图函数就可以处理所有的时间段了。 我们使用圆括号把参数在URL模式里标识 出来。 在这个例子中，我们想要把这些数字作为参数，用圆括号把 \d{1,2} 包围起来：
(r'^time/plus/(\d{1,2})/$', hours_ahead),
如果你熟悉正则表达式，那么你应该已经了解，正则表达式也是用圆括号来从文本里 提取 数据的。
让我们逐行分析一下 views.py 的代码：
视图函数, hours_ahead , 有 两个 参数: request 和 offset .
request 是一个 HttpRequest 对象, 就像在 current_datetime 中一样. 再说一次好了: 每一个视图 总是 以一个 HttpRequest 对象作为 它的第一个参数。
offset 是从匹配的URL里提取出来的。 例如：如果请求URL是/time/plus/3/，那么offset将会是3；如果请求URL是/time/plus/21/，那么offset将会是21。请注意：捕获值永远都是字符串(string)类型，而不会是整数(integer)类型，即使这个字符串全由数字构成(如：“21”)。
从技术上来说，捕获值总是Unicode objects，而不是简单的Python字节串，但目前不需要担心这些差别。
在这里我们命名变量为 offset ，你也可以任意命名它，只要符合Python 的语法。 变量名是无关紧要的，重要的是它的位置，它是这个函数的第二个 参数 (在 request 的后面)。 你还可以使用关键字来定义它，而不是用 位置。
我们在这个函数中要做的第一件事情就是在 offset 上调用 int() . 这会把这个字符串值转换为整数。
请留意：如果你在一个不能转换成整数类型的值上调用int()，Python将抛出一个ValueError异常。如：int(‘foo’)。在这个例子中，如果我们遇到ValueError异常，我们将转为抛出django.http.Http404异常——正如你想象的那样：最终显示404页面(提示信息：页面不存在)。
机灵的读者可能会问： 我们在URL模式中用正则表达式(d{1,2})约束它，仅接受数字怎么样？这样无论如何，offset都是由数字构成的。 答案是：我们不会这么做，因为URLpattern提供的是“适度但有用”级别的输入校验。万一这个视图函数被其它方式调用，我们仍需自行检查ValueError。 实践证明，在实现视图函数时，不臆测参数值的做法是比较好的。 松散耦合，还记得么？
下一行，计算当前日期/时间，然后加上适当的小时数。 在current_datetime视图中，我们已经见过datetime.datetime.now()。这里新的概念是执行日期/时间的算术操作。我们需要创建一个datetime.timedelta对象和增加一个datetime.datetime对象。 结果保存在变量dt中。
这一行还说明了，我们为什么在offset上调用int()——datetime.timedelta函数要求hours参数必须为整数类型。
这行和前面的那行的的一个微小差别就是，它使用带有两个值的Python的格式化字符串功能， 而不仅仅是一个值。 因此，在字符串中有两个 %s 符号和一个以进行插入的值的元组： (offset, dt) 。
最终，返回一个HTML的HttpResponse。
OK，程序解释完毕。用 Django 实现动态 URL 大概就这样。

前一小节学习了如何用 Django 做动态页面，就是用 Python 显示实时时间。但是是不是觉得这样的动态页面不太实际？一般的 URL 形如 http://www.nowamagic.net/librarys/topics/detail/188 这样的，如何用 Django 实现这种动态
 URL 呢？

这里我们来尝试下实现这样的 URL 。还是先上程序，再解释。

程序实现

我们创建第三个视图来显示当前时间和加上时间偏差量的时间，设计是这样的： /time/plus/1/ 显示当前时间+1个小时的页面 /time/plus/2/ 显示当前时间+2个小时的页面 /time/plus/3/ 显示当前时间+3个小时的页面，以此类推。

1. urls.py







1

from django.conf.urls.defaults import *









2

from PythonProject.views import hello,
 current_datetime, hours_ahead









3

 









4

urlpatterns = patterns('',









5

    ('^hello/$',
 hello),









6

    ('^time/$',
 current_datetime),









7

    (r'^time/plus/(\d{1,2})/$',
 hours_ahead),









8

)







2. views.py







01

from django.http import Http404,
 HttpResponse









02

import datetime









03

 









04

def hello(request):









05

    return HttpResponse("Hello
 NowaMagic")









06

 









07

def current_datetime(request):









08

    now = datetime.datetime.now()









09

    html = "<html><body>It
 is now %s.</body></html>" % now









10

    return HttpResponse(html)









11

 









12

def hours_ahead(request,
 offset):









13

    offset = int(offset)









14

    dt = datetime.datetime.now() + datetime.timedelta(hours=offset)









15

    html = "<html><body>In
 %s hour(s), it will be %s.</body></html>" %(offset,
 dt)









16

    return HttpResponse(html)







现在访问 http://127.0.0.1:8000/time/plus/3/，比实际时间多了 3 小时。OK，程序通过。

程序解释

新手可能会考虑写不同的视图函数来处理每个时间偏差量，URL配置看起来就象这样：







1

urlpatterns = patterns('',









2

    ('^time/$',
 current_datetime),









3

    ('^time/plus/1/$',
 one_hour_ahead),









4

    ('^time/plus/2/$',
 two_hours_ahead),









5

    ('^time/plus/3/$',
 three_hours_ahead),









6

    ('^time/plus/4/$',
 four_hours_ahead),









7

)







很明显，这样处理是不太妥当的。 不但有很多冗余的视图函数，而且整个应用也被限制了只支持 预先定义好的时间段，2小时，3小时，或者4小时。如果哪天我们要实现 5 小时，我们就 不得不再单独创建新的视图函数和配置URL，既重复又混乱。 我们需要在这里做一点抽象，提取一些共同的东西出来。

那么，我们如何设计程序来处理任意数量的时差？ 答案是：使用通配符（wildcard URLpatterns）。正如我们之前提到过，一个URL模式就是一个正则表达式。因此，这里可以使用d+来匹配1个以上的数字。







1

urlpatterns = patterns('',









2

    #
 ...









3

    (r'^time/plus/(\d+)/$',
 hours_ahead),









4

    #
 ...









5

)







这个URL模式将匹配类似 /time/plus/2/ , /time/plus/25/ ,甚至 /time/plus/100000000000/ 的任何URL。 更进一步，让我们把它限制在最大允许99个小时，这样我们就只允许一个或两个数字，正则表达式的语法就是 \d{1,2} :







1

(r'^time/plus/(\d{1,2})/$',
 hours_ahead),







另外一个重点，正则表达式字符串的开头字母“r”。 它告诉Python这是个原始字符串，不需要处理里面的反斜杠（转义字符）。 在普通Python字符串中，反斜杠用于特殊字符的转义。比如n转义成一个换行符。 当你用r把它标示为一个原始字符串后，Python不再视其中的反斜杠为转义字符。也就是说，“n”是两个字符串：“”和“n”。由于反斜杠在Python代码和正则表达式中有冲突，因此建议你在Python定义正则表达式时都使用原始字符串。 从现在开始，本文所有URL模式都用原始字符串。

现在我们已经设计了一个带通配符的URL，我们需要一个方法把它传递到视图函数里去，这样 我们只用一个视图函数就可以处理所有的时间段了。 我们使用圆括号把参数在URL模式里标识 出来。 在这个例子中，我们想要把这些数字作为参数，用圆括号把 \d{1,2} 包围起来：







1

(r'^time/plus/(\d{1,2})/$',
 hours_ahead),







如果你熟悉正则表达式，那么你应该已经了解，正则表达式也是用圆括号来从文本里 提取 数据的。

让我们逐行分析一下 views.py 的代码：

视图函数, hours_ahead , 有 两个 参数: request 和 offset .

request 是一个 HttpRequest 对象, 就像在 current_datetime 中一样. 再说一次好了: 每一个视图 总是 以一个 HttpRequest 对象作为 它的第一个参数。

offset 是从匹配的URL里提取出来的。 例如：如果请求URL是/time/plus/3/，那么offset将会是3；如果请求URL是/time/plus/21/，那么offset将会是21。请注意：捕获值永远都是字符串（string）类型，而不会是整数（integer）类型，即使这个字符串全由数字构成（如：“21”）。





从技术上来说，捕获值总是Unicode objects，而不是简单的Python字节串，但目前不需要担心这些差别。


在这里我们命名变量为 offset ，你也可以任意命名它，只要符合Python 的语法。 变量名是无关紧要的，重要的是它的位置，它是这个函数的第二个 参数 (在 request 的后面）。 你还可以使用关键字来定义它，而不是用 位置。

我们在这个函数中要做的第一件事情就是在 offset 上调用 int() . 这会把这个字符串值转换为整数。

请留意：如果你在一个不能转换成整数类型的值上调用int()，Python将抛出一个ValueError异常。如：int(‘foo’)。在这个例子中，如果我们遇到ValueError异常，我们将转为抛出django.http.Http404异常——正如你想象的那样：最终显示404页面（提示信息：页面不存在）。

机灵的读者可能会问： 我们在URL模式中用正则表达式(d{1,2})约束它，仅接受数字怎么样？这样无论如何，offset都是由数字构成的。 答案是：我们不会这么做，因为URLpattern提供的是“适度但有用”级别的输入校验。万一这个视图函数被其它方式调用，我们仍需自行检查ValueError。 实践证明，在实现视图函数时，不臆测参数值的做法是比较好的。 松散耦合，还记得么？

下一行，计算当前日期/时间，然后加上适当的小时数。 在current_datetime视图中，我们已经见过datetime.datetime.now()。这里新的概念是执行日期/时间的算术操作。我们需要创建一个datetime.timedelta对象和增加一个datetime.datetime对象。 结果保存在变量dt中。

这一行还说明了，我们为什么在offset上调用int()——datetime.timedelta函数要求hours参数必须为整数类型。

这行和前面的那行的的一个微小差别就是，它使用带有两个值的Python的格式化字符串功能， 而不仅仅是一个值。 因此，在字符串中有两个 %s 符号和一个以进行插入的值的元组： (offset, dt) 。

最终，返回一个HTML的HttpResponse。

OK，程序解释完毕。用 Django 实现动态
 URL 大概就这样。











五、Q&A

*先写URLpattern还是先写视图？

根据个人喜好，一般设定主框架时，可以先写出URLpattern,在开发具体的视图；细节处，可以先写好视图函数，然后在挂到

URLpattern上。



*正则表达式

. (dot) 任意单一字符 

\d 任意一位数字 

[A-Z] A 到 Z中任意一个字符（大写） 

[a-z] a 到 z中任意一个字符（小写） 

[A-Za-z] a 到 z中任意一个字符（不区分大小写） 

+ 匹配一个或更多 (例如, \d+ 匹配一个或 多个数字字符) 

[^/]+ 一个或多个不为‘/’的字符 

？ 零个或一个之前的表达式（例如：\d? 匹配零个或一个数字） 

* 匹配0个或更多 (例如, \d* 匹配0个 或更多数字字符) 

{1,3} 介于一个和三个（包含）之前的表达式（例如，\d{1,3}匹配一个或两个或三个数字）

1.动态加载iframe地址
ifr即iframe的id
host即iframe的src地址
window.onload=function(){
   var obj=document.getElementById("ifr")
   obj.contentWindow.location.href=host;
}

2.跨域获取iframe子页面的动态url
iframe页面中
window.addEventListener('message',function(rs){
   var href=rs.data;
   if(href !="" && href != host){
          location.href=href;
   }
});

子页面
window.parent.postMessage(window.location.href,"*");