web开发功能权限控制

  在网站开发的过程中,经常会遇到让某些功能只提供给某些特定的用户去使用,比如,一些高级功能只提供给会员用户使用,而一般的普通用户只能访问一些简单的功能。

具体的实现方式如下。


(1)前端控制:

  前端的控制比较简单,从后台获取到用户的权限之后,可以存在session或者cookie中,然后在页面加载的时候,通过session或者cookie中存的权限来选择让该功能展现或者禁用。


(2)后台控制:

  仅仅依靠前端的控制是无法完美解决权限控制的问题,因为前端页面的加载过程是在浏览器中完成的,用户可以自行篡改页面;或者用户可以直接通过URI请求来获取非法权限功能。所以需要在后台实现权限控制。

  后台的控制方法也很多,比如filter、spring的AOP等。在此选用springMVC的interceptor来控制。

  首先,在appContext-mvc.xml配置文件中配置拦截器,如下所示:

<mvc:interceptors>
    <!-- 会员功能 -->
    <mvc:interceptor>  
        <mvc:mapping path="/fund/mem/**" />
        <bean class="org.fund.user.interceptor.AuthInterceptor" />  
    </mvc:interceptor>
</mvc:interceptors>  

  其中,path表示需要控制的接口路径,可以使用正则表达式来匹配。

  然后,需要自己定义一个拦截器类,继承HandlerInterceptor接口,然后在preHandle方法里进行权限判断,如下所示:

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    User user = UserHolder.getUser();
    if (user.getAuth() == GameIdeaType.VIP_USER.getId()) {
        return true;
    } else {
        return false;
    }
}

  此时,当用户访问接口时,会首先进入这个拦截器的preHandle方法去处理。若权限通过则返回true;否则返回false,此次访问结束。

  到此,已经实现了权限的控制,但是无法在用户访问非法权限接口时给出提示。若要解决这个问题,需要添加一个全局异常管理。


(3)全局异常管理:

  思路是在拦截器中权限校验失败时,抛出一个权限校验失败的异常,然后通过全局异常管理类来捕获并返回前端特定的格式。具体如下。

  首先,在配置文件中添加全局异常管理类,如下:

<!-- 全局异常管理 -->
<bean id="handlerExceptionResolver" class="org.fund.common.ExceptionHandler">
    <property name="order" value="0"></property>
</bean>

  然后,定义异常管理类,实现SimpleMappingExceptionResolver接口。

/**
 * 全局异常处理类
 * 
 * @author 
 */
public class ExceptionHandler extends SimpleMappingExceptionResolver {

    @Override
    public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) {
        logger.info("System Error Occurred. " + e.getMessage(), e);

        ModelAndView model = new ModelAndView(new MappingJacksonJsonView());
        List<String> errors = new ArrayList<String>();

        if (e instanceof NoPermissionException) {
            errors.add("抱歉,该功能开通会员之后才能使用!");
        } else {
            errors.add("系统异常");
        }

        return paramError(model, errors);
    }

    private ModelAndView paramError(ModelAndView mv, List<String> errors) {
        mv.addObject("success", false);
        mv.addObject("data", null);
        mv.addObject("errors", errors);
        return mv;
    }

}

  最后,修改拦截器的实现

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    User user = UserHolder.getUser();
    if (user.getAuth() == GameIdeaType.VIP_USER.getId()) {
        return true;
    } else {
        throw new NoPermissionException();
    }
}
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值