我们系统分了5大子系统,粗粒度的分了5个权限。
用户只要有对应系统的权限才可以访问相应的子系统。超级管理员可以访问所有子模块,一般的用户可能只能访问“我的空间”。
我们下面就来做一个权限鉴定,我们画个图来设计一下:
接下来编码实现:
我们要修改我们过滤器的代码
- @Override
- public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
- FilterChain chain) throws IOException, ServletException {
- HttpServletRequest request=(HttpServletRequest)servletRequest;
- HttpServletResponse response=(HttpServletResponse)servletResponse;
- String uri=request.getRequestURI();
- //判断当前请求地址是否是登录地址
- if(!uri.contains("sys/login_")){
- //非登录请求
- if(request.getSession().getAttribute(Constant.USER)!=null){
- //说明已经登录过
- //判断是否访问纳税服务子系统
- if(uri.contains("/tax/")){
- //说明访问纳税服务子系统
- User user=(User)request.getSession().getAttribute(Constant.USER);
- PermissionCheck pc=new PermissionCheckImpl();
- if(pc.isAccessible(user,"nsfw")){
- //说明有权限,放行
- chain.doFilter(request, response);
- }else{
- //没有权限,跳转到没有权限提示界面
- response.sendRedirect(request.getContextPath()+"/sys/login_toNoPermissionUI.action");
- }
- }else{
- //非访问纳税服务子系统,直接放行
- chain.doFilter(request, response);
- }
- }else{
- //没有登录,跳转到登录界面
- response.sendRedirect(request.getContextPath()+"/sys/login_toLoginUI.action");
- }
- }else{
- //登录请求,直接放行
- chain.doFilter(request, response);
- }
- }
其中新添加了权限检查类PermissionCheck(分为接口和实现类),此类代码为:
接口:
- package cn.edu.hpu.tax.core.permission;
- import cn.edu.hpu.tax.user.entity.User;
- public interface PermissionCheck {
- /**
- *判断用户是否有code对应的权限
- * @param user 用户
- * @param code 子系统的权限标识
- * @return true or false
- */
- public boolean isAccessible(User user,String code);
- }
实现类:
- package cn.edu.hpu.tax.core.permission.impl;
- import javax.annotation.Resource;
- import cn.edu.hpu.tax.core.permission.PermissionCheck;
- import cn.edu.hpu.tax.role.entity.Role;
- import cn.edu.hpu.tax.role.entity.RolePrivilege;
- import cn.edu.hpu.tax.role.service.RoleService;
- import cn.edu.hpu.tax.user.entity.User;
- import cn.edu.hpu.tax.user.service.UserService;
- public class PermissionCheckImpl implements PermissionCheck {
- @Resource
- private UserService userService;
- @Resource
- private RoleService roleService;
- @Override
- public boolean isAccessible(User user, String code) {
- //1.获取用户的所有角色
- String[] ids=userService.getRoleIdByUserId(user.getId());
- Role role=null;
- //2.根据每个角色对应的所有权限进行对比
- for (int i = 0; i < ids.length; i++) {
- role=roleService.findObjectById(ids[i]);
- for (RolePrivilege rp:role.getRolePrivileges()) {
- //对比是否有code对应的权限
- if(code.equals(rp.getId().getCode())){
- //说明有权限,返回true
- return true;
- }
- }
- }
- return false;
- }
- }
在LoginAction中添加跳转到没有权限提示界面的方法:
- //跳转到没有权限提示界面
- public String toNoPermissionUI(){
- return "noPermissionUI";
- }
然后在struts中配置这个界面:
- <result name="noPermissionUI">/WEB-INF/jsp/noPermissionUI.jsp</result>
没有权限访问模块的noPermissionUI.jsp界面代码:
- <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
- <html>
- <head>
- <title>没有权限</title>
- </head>
- <body>
- 对不起!您没有访问此功能的权限;请联系系统管理员。
- <a href="javascript:history.go(-1)">《《返回</a>
- </body>
- </html>
我们不能每一次点击一个功能的时候就进行这样一次检查,因为每次都要进行查询数据库来查询用户的角色信息,我们要在登录的时候就去查询完成这个角色,然后之后每次鉴定的时候就无需再次进数据库查询:
我们在User中添加private List<role> roles;这个属性以及get和set方法。
然后在LoginAction的login方法中登录之后就将用户的所有权限信息都保存在用户的roles属性中(需要注入roleService),然后再将用户放入session,以后就可以利用session中的信息,无需再次查询数据库:
- //登录
- public String login(){
- if(user!=null){
- if(StringUtils.isNoneBlank(user.getAccount())
- &&StringUtils.isNoneBlank(user.getPassword())){
- //根据用户的账号和密码查询用户列表
- List<User> list=userService.findUserByAccountAndPassword(user.getAccount(),user.getPassword());
- if(list!=null&&list.size()>0){//说明登录成功
- //1、登录成功
- User user=list.get(0);
- //1.1、根据用户id查询用户的所有角色信息
- String[] ids=userService.getRoleIdByUserId(user.getId());
- List<Role> rolelist=new ArrayList<Role>();
- for (int i = 0; i < ids.length; i++) {
- rolelist.add(roleService.findObjectById(ids[i]));
- }
- user.setRoles(rolelist);
- //1.2、将用户信息保存到session中
- ServletActionContext.getRequest().getSession().setAttribute(Constant.USER, user);
- //1.3、将用户登录记录到日志文件
- Log log=LogFactory.getLog(getClass());
- log.info("用户名称为:"+user.getName()+"的用户登录了系统");
- //1.4、重定向跳转到首页
- return "home";
- }else{
- loginResult="账号或密码不正确!";
- }
- }else{
- loginResult="账号或密码不能为空!";
- }
- }else{
- loginResult="请输入账号和密码!";
- }
- return toLoginUI();
- }
然后修改PermissionCheckImpl的检查代码,让其不再去查询数据库。
- package cn.edu.hpu.tax.core.permission.impl;
- import java.util.List;
- import cn.edu.hpu.tax.core.permission.PermissionCheck;
- import cn.edu.hpu.tax.role.entity.Role;
- import cn.edu.hpu.tax.role.entity.RolePrivilege;
- import cn.edu.hpu.tax.user.entity.User;
- public class PermissionCheckImpl implements PermissionCheck {
- @Override
- public boolean isAccessible(User user, String code) {
- //1.获取用户的所有角色
- List<Role> rolelist=user.getRoles();
- Role role=null;
- //2.根据每个角色对应的所有权限进行对比
- for (int i = 0; i < rolelist.size(); i++) {
- role=rolelist.get(i);
- for (RolePrivilege rp:role.getRolePrivileges()) {
- //对比是否有code对应的权限
- if(code.equals(rp.getId().getCode())){
- //说明有权限,返回true
- return true;
- }
- }
- }
- return false;
- }
- }
我们来验证一下我们的权限鉴定是否可行:
我们没有给“李向阳”设定访问纳税服务的权限,所以当我们登录李向阳的账号之后点击“纳税服务”模块时,弹出下列窗口:
当我们使用其它有此权限的账号登录的时候,可以进入“纳税服务”模块。
至此,我们的权限鉴定功能完成。
还有一个问题,我们删除用户的时候是物理删除(当然后期不是物理删除),我们删除用户之后还需要将用户所有的角色信息给删除,防止脏数据。
所以我们修改UserServiceImpl的delete方法:
- @Override
- public void delete(Serializable id) {
- userDao.delete(id);
- //删除用户对应的所有权限
- userDao.deleteUserRoleByUserId(id.toString());
- }
这样,当我们删除用户的时候,就会连用户的角色一起删除。
2.登录嵌套的解决
还有一个问题,当我们登陆之后过了好一段时间没有操作,点击某个功能的时候会出现这种情况:
这就是所谓的登录嵌套,是什么原因呢?
原因就是我们的session是有时间限制的,当session失效的时候,点击frame框架里的侧边栏,在右边主界面显示的就是我们的功能模块页面,但是由于我们设置了过滤器,我们的过滤器检测到用户的session不存在,所以就会跳转至登录界面,就造成了上面那种情况。
解决办法:
就是让登录界面知道自己在哪里(浏览器里还是frame里)
找到我们的登录jsp,在其中添加此代码:
- //解决子框架嵌套的问题
- if(window != window.parent){
- window.parent.location.reload(true);
- }
也就是当此界面不是在主窗口的时候,我们就刷新主窗口的地址。
至此,我们的权限鉴定和解决嵌套登录完成。