将用户注册的register.html文件移动到templates文件夹下。

在SystemController中添加：

在SecurityConfig中，将注册相关的"/register.html"和"/portal/user/student/register"这2个URL添加到白名单中。

在“学生注册”的业务中，应该及时获取新插入的用户数据的id，并将该用户id和角色id（学生角色的id固定为2）插入到user_role数据表中，以记录新注册的学生的角色。

先在UserServiceImpl中添加：

然后，在原有的“学生注册”的业务最后补充：

完成后，需要在“学生注册”的业务方法之前添加@Transactional注解，以启用事务。

关于事务，它是数据库提供的一种机制，它可以保证一系列的写操作（包括插入、删除、修改）要么全部成功，要么全部失败！

假设存在数据：

账号

余额

苍松

1000

国斌

8000

如果要实现“国斌向苍松转账5000元”，需要执行的数据操作有：

万一，在执行过程中，因为某些不可控的因素，导致前一条SQL语句成功的执行了，但是后一条SQL语句却无法执行，就会导致数据安全问题。在这种情况下，就需要使用事务，如果2条SQL语句都执行成功，则圆满完成，如果任何1条执行出错，只要保证全部是失败的（哪怕之前已经执行成功了某些SQL语句，也将失败），数据安全也不会受到影响！

基于Spring JDBC的事务处理，只需要在业务方法之前添加@Transactional注解即可。其处理机制大致是：

所以，为了保证事务机制的有效执行，必须：

在开发项目时，之所以需要将业务异常继承自RuntimeException，是因为：

另外，@Transactional注解还可以添加在业务类的声明之前，会使得当前类中所有的方法都是基于事务机制来运行的，但是，一般并没有这个必要性，所以，不推荐这样使用！

还应该了解：事务的ACID特性，事务的隔离，事务的传播。

以上注册过程中添加了“分配角色”，而各角色是对应某些权限的，所以，“分配角色”的过程就是“分配权限”的过程！在用户登录时，应该读取用户的权限，以完成Spring Security在验证过程中的授权，以保证后续在进行某些访问时，能给出正确的判断，使得某些用户可以执行某些操作，而另一些用户可能因为没有权限而不能执行这些操作！

首先，需要实现“根据用户id查询该用户的权限”的功能，需要执行的SQL语句大致是：

在处理权限数据的持久层PermissionMapper接口中添加抽象方法：

然后，在PermissionMapper.xml中配置以上抽象方法对应的SQL语句：

完成后，在测试位置创建PermissionMapperTests测试类，编写并执行单元测试：

接下来，在处理登录的业务中，也就是在UserServiceImpl中先添加：

并在login()方法中补充：

由于修改了注册的业务（刚刚添加了“为学生账号分配角色”），原本的测试数据可能会不可用，为了便于后续的测试使用，应该先将原有数据全部清空：

并通过注册业务或注册页面再次注册一些新的账号。

同时，还应该将一些数据标识为老师：

在用户角色分配表中，清空原有数据，将一部分账号的角色改为管理员、老师：

当用户成功登录后，需要获取用户的信息才可以执行后续的操作，例如获取某用户的权限、获取某用户的问题列表、获取某用户的个人信息等等。

Spring Security提供了简便的获取当前登录用户信息的做法，在控制器的处理请求的方法中，添加Authentication类型的参数，或添加Principal类型的参数，均可获得当前登录用户的信息，例如：

以上2种做法输出的结果是完全相同的，因为Authentication是继承自Principal的，当Spring MVC框架尝试注入参数值时，注入的是同一个对象！

以上做法输出的内容比较多，还可以使用以下做法来获取用户信息：

通过以上注入@AuthenticationPricipal UserDetails userDetails后可以获取用户的信息，但是，对象中封装的信息可能不足以满足编程需求，例如没有用户的id或其它的某些属性！如果需要存在这些属性，就需要自定义类，扩展自UserDetails！

在cn.tedu.straw.portal.security包下创建UserInfo类，继承自User类，并在这个类中声明所需的自定义属性：