逻辑图
登陆拦截逻辑图
权限拦截逻辑图
控制器部分
获取前端传来的用户名和密码进行验证,验证成功则把对象放进session中 并获取此用户所拥有的所有权限表达式放入session中 为了给权限拦截器进行判断
@Autowired
private IEmployeeService employeeService;
@Autowired
private IPermissionService permissionService;
@RequestMapping("/userLogin")
@ResponseBody
public JsonResult login(String username, String password, HttpSession session) {
try {
Employee employee = employeeService.login(username, password);//验证登录,登陆失败则抛出异常
// 把用户信息存到session
session.setAttribute("USER_IN_SESSION", employee);
if (!employee.isAdmin()) {
// 查询该用户拥有的权限信息(集合表达式)
List<String> stringList = permissionService.selectByEmpId(employee.getId());
// 把权限信息存到session
session.setAttribute("PREMISSION_IN_SESSION", stringList);
}
//
return new JsonResult();
} catch (Exception e) {
e.printStackTrace();
return new JsonResult(false, e.getMessage());
}
}
查询该用户拥有的权限信息(集合表达式)使用到的sql语句部分
permissionService.selectByEmpId(employee.getId());业务层内调用dao层的方法 通过员工id 连 ‘员工_角色表’ 再连 ‘角色_权限表’ 再连 ‘权限表’ (三表连接) 获取此员工对应的所有权限表达式,返回成一个String集合
<select id="selectByEmpId" resultType="string">
select distinct expression from employee_role er join role_permission rp on er.role_id = rp.role_id
join permission p on rp.permission_id = p.id
where er.employee_id =#{empId}
</select>
拦截器部分
登陆拦截器
前提须知:自定义权限注解存放进数据库权限表中 实现拦截器接口,并重写preHandler方法 从session寻找用户,若用户没有登录,则无法访问其他页面,被强行跳转至登陆页面
//登陆拦截器
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 从session中获取用户信息
Object employee=request.getSession().getAttribute("USER_IN_SESSION");
// 如果不存在,代表没有登录,跳转到登陆页面,不放行
if (employee==null){
response.sendRedirect("/login.html");
return false;//不放行
}
return true;//放行
}
}
权限拦截器
从session中获取用户信息,和此用户的所拥有的权限信息集合 若此用户是超级管理员则放行 若不是则判断访问的url的权限是否被在此用户拥有的权限信息集合所包含,包含则放行,不包含则跳转到’提示无权限访问’的页面
public class PermissionInterception implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 从session中获取用户信息
Employee employee = (Employee) request.getSession().getAttribute("USER_IN_SESSION");
if (employee.isAdmin()){
return true;//放行
}
// handler代表被拦截对象(可能是静态资源相关,也可能是处理方法)
// 强转为HandlerMethod(当前被拦截的处理方法)
if (!(handler instanceof HandlerMethod)){//如果不是HandlerMethod类型,就直接放行
return true;
}
HandlerMethod method = (HandlerMethod) handler;
// 获取方法上的注解
RequiredPermission annotation = method.getMethodAnnotation(RequiredPermission.class);
if (annotation==null){
return true;//放行
}
// 查询用户拥有的权限信息(权限表达式集合)
List<String> stringList = (List<String>) request.getSession().getAttribute("PREMISSION_IN_SESSION");
// 获取权限注解中的表达式
String expression = annotation.expression();
// 判断集合中是否包含此表达式
if (stringList.contains(expression)){
return true;//放行
}
// request进行请求转发,不会经过视图解析器,导致ftl的指令没有办法解析
response.sendRedirect("/nopermission");
return false;
}
}
applicationContext.xml配置部分
先配置登陆拦截 后配权限拦截 不截拦静态资源和登陆页面与登陆控制器
<!-- 配置拦截器-->
<mvc:interceptors>
<!-- 执行顺序 就是配置顺序-->
<mvc:interceptor>
<mvc:mapping path="/**"/><!--需要拦截的路径 -->
<mvc:exclude-mapping path="/login.html"/><!--排除拦截登陆页面的路径 -->
<mvc:exclude-mapping path="/userLogin"/><!--排除拦截登陆控制器的路径 -->
<mvc:exclude-mapping path="/js/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/css/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/img/**"/><!--排除拦截的路径 -->
<bean class="com.edt.web.interceptor.LoginInterceptor"/>
</mvc:interceptor>
<mvc:interceptor>
<mvc:mapping path="/**"/><!--需要拦截的路径 -->
<mvc:exclude-mapping path="/nopermission"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/login.html"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/userLogin"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/js/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/css/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/img/**"/><!--排除拦截的路径 -->
<bean class="com.edt.web.interceptor.PermissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>