一、
接着上一篇的说 权限(一)--用户、权限组以及权限的分配
权限的控制分为两块:
1.页面的控制(没用权限的不让他看到页面)
2.过滤控制(就算知道url,没有权限也不让进)
在项目中,都是由一个人来负责权限部分的编写,然后其他人的活中多少会涉及到一些权限相关的。
所以,权限控制的通用性是非常重要的(总不能每次写到就找写权限部分的那个人,问他怎么弄)。
测试demo包:
权限控制Demo
二、过滤器
在访问url之前,进行一次过滤,同时查看当前用户是否有访问该url的权限。
为了保证通用性,这里使用一个map来记录url与权限的映射关系。
当其他开发者编写到需要权限控制的页面时,只需要将页面的url以及对应需要哪种权限的映射对放入到数据库中。
在应用发布的时候,加载映射到内存即可。
在过滤的时候:
1.通过url查看映射表,判断当前url是否需要权限,如果需要,需要什么权限
2.通过查找到的权限,与session中保存的权限比,看session中是否有需要的权限
session的权限查找用的比较多,所以使用HashSet实现O1时间查找。
- package com.privilege.filter;
-
- import java.io.IOException;
- import java.util.HashSet;
-
- import javax.servlet.Filter;
- import javax.servlet.FilterChain;
- import javax.servlet.FilterConfig;
- import javax.servlet.ServletException;
- import javax.servlet.ServletRequest;
- import javax.servlet.ServletResponse;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
-
- import com.privilege.utils.PrivilegeUrlMapping;
-
- public class PrivilegeFilter implements Filter {
-
- private static String CONTEXT_PATH = null;
-
- @Override
- public void destroy() {
-
- }
-
- @SuppressWarnings("unchecked")
- @Override
- public void doFilter(ServletRequest req, ServletResponse resp,
- FilterChain chain) throws IOException, ServletException {
- HttpServletRequest request = (HttpServletRequest) req;
- HttpServletResponse response = (HttpServletResponse) resp;
-
- String requestPath = request.getRequestURI();
- String target = requestPath.replace(CONTEXT_PATH, "");
-
-
- if (!PrivilegeUrlMapping.contains(target)) {
- chain.doFilter(request, response);
- return;
- }
-
- Object p = request.getSession().getAttribute("privilege");
-
- if (p == null) {
- defaultRedirect(response);
- return;
- }
- HashSet<Integer> privleges = (HashSet<Integer>) p;
-
- Integer code = PrivilegeUrlMapping.getPrivilegeCode(target);
-
- if (privleges.contains(code)) {
- chain.doFilter(request, response);
- return;
- }
-
-
- defaultRedirect(response);
-
- }
-
- private void defaultRedirect(HttpServletResponse response)
- throws IOException {
- response.sendRedirect(CONTEXT_PATH + "/login.jsp");
- }
-
- @Override
- public void init(FilterConfig config) throws ServletException {
- CONTEXT_PATH = config.getServletContext().getContextPath();
- }
-
- }
三、页面处理
同样是为了实现通用,这里使用一个自定义标签
设想是这样的
<p:privilege target="2"></p:privilege>
使用这个一个标签,将需要权限判断的内容放入到其中,然后指定需要哪种权限。
自定义标签java代码:
- package com.privilege.tag;
-
- import java.io.IOException;
- import java.util.HashSet;
-
- import javax.servlet.jsp.JspException;
- import javax.servlet.jsp.tagext.BodyTagSupport;
-
- public class PrivilegeTag extends BodyTagSupport {
-
- private Integer target;
-
-
- @Override
- public int doEndTag() throws JspException {
- Integer code = getTarget();
- Object p = pageContext.getSession().getAttribute("privilege");
- if (p == null) {
- return SKIP_BODY;
- }
- HashSet<Integer> privilege = (HashSet<Integer>) p;
-
-
- if (privilege.contains(code)) {
- try {
- pageContext.getOut().print(bodyContent.getString());
- } catch (IOException e) {
- e.printStackTrace();
- }
- return EVAL_PAGE;
- }
- return SKIP_BODY;
- }
-
- public Integer getTarget() {
- return target;
- }
-
- public void setTarget(Integer target) {
- this.target = target;
- }
-
- }
自定义标签配置文件(放在WEB-INF下):
- <?xml version="1.0" encoding="UTF-8" ?>
-
- <taglib xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-jsptaglibrary_2_1.xsd"
- version="2.1">
-
- <tlib-version>1.2</tlib-version>
- <short-name>p</short-name>
- <uri>http://java.sun.com/jsp/jstl/privilege</uri>
-
-
-
- <tag>
- <name>privilege</name>
- <tag-class>com.privilege.tag.PrivilegeTag</tag-class>
- <body-content>JSP</body-content>
- <attribute>
- <name>target</name>
- <required>yes</required>
- </attribute>
- </tag>
-
- </taglib>
四、jsp页面
1.包含taglib
- <%@ taglib prefix="p" uri="http://java.sun.com/jsp/jstl/privilege"%>
2.内容
- <body>
- <p:privilege target="1">
- <div>权限1能够看到</div>
- ${user.username}
- </p:privilege>
-
- <p:privilege target="2">
- <div>权限2能够看到</div>
- ${user.username}
- </p:privilege>
-
- <p:privilege target="3">
- <div>权限3能够看到</div>
- ${user.username}
- </p:privilege>
- </body>
五、测试
好了,亲测好使。。。
下载地址:
权限控制Demo
记得查看readme.txt文件