Spring mvc的自定义注解权限拦截器(一)

最新推荐文章于 2022-07-28 10:56:36 发布
最新推荐文章于 2022-07-28 10:56:36 发布
阅读量639 收藏
点赞数
分类专栏: java spring mybatis springmvc 文章标签: spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alvin_010/article/details/53133637
版权
java 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
spring
2 篇文章 1 订阅
订阅专栏
mybatis
2 篇文章 0 订阅
订阅专栏

这个是一个自定义权限拦截器,虽说有Spring Security,但是还是记录下它,下篇在写Spring Security吧。

1.写两个自定义注解(功能类似于spring security的@PreAuthorize)

package com.jeff.authority;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Auth {

    public String[] roles(); 

    public String description() default "";

    public String url() default "";
}

package com.jeff.authority;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthClass {

    public String[] defaultRoles() default {};

}

2.具体实现权限拦截的类

package com.jeff.authority;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Properties;
import java.util.Set;

import com.jeff.util.PropertiesUtil;

public class AuthContext {

    public static HashMap<String, Set<String>> acl = new HashMap<String, Set<String>>();

    public static Set<String> freeUrls = new HashSet<String>(); //不加拦截的的方法
    static {
        freeUrls.add("/admin/login");
        freeUrls.add("/admin/mobileLogin");

        freeUrls.add("/user/login");
        freeUrls.add("/user/logout");
        freeUrls.add("/user/getQRcode");
        freeUrls.add("/user/scanLoginCode");
        freeUrls.add("/user/check");
        freeUrls.add("/user/mobileLogin");
        freeUrls.add("/user/fingerLogin");

        freeUrls.add("/exam/login");
        freeUrls.add("/exam/getUserIdQRcode");
        freeUrls.add("/exam/getQRcode");
        freeUrls.add("/exam/scanLoginCode");
        freeUrls.add("/exam/examineeFingerLogin");

        freeUrls.add("/ajaxmenutree");

        freeUrls.add("/news/searchNewsByPage");
        freeUrls.add("/news/getOneNews");
        freeUrls.add("/file/downloadAttachment");
    }

    /***
     *  判断是否有权限调用该方法
     * @param gradeId
     * @param url
     * @return
     */
    public static boolean checkAuth(String gradeId, String url) {
//      if (acl.containsKey(gradeId))
//          return acl.get(gradeId).contains(url);
//      else
//          return freeUrls.contains(url);
        if(freeUrls.contains(url)) {
            return true; //先判断是否是自由访问的,如果是直接返回true
        } else if (acl.containsKey(gradeId)) {
            return acl.get(gradeId).contains(url);//返回该角色是否有权限调用此方法
        } else {
            return false;
        }
    }
    /***
     * 获取角色权限的信息 生成HashMap acl
     * @param connection
     * @throws SQLException
     */
    public static void initAuthContext(Connection connection)
            throws SQLException {
        Properties properties = PropertiesUtil.getProp("jdbc.properties");
        String url = properties.getProperty("jdbc_url");
        String username = properties.getProperty("jdbc_username");
        String password = properties.getProperty("jdbc_password");
        try {
            if (connection == null || connection.isClosed())
                connection = DriverManager.getConnection(url, username,
                        password);
            Statement statement = connection.createStatement();
            //将所有角色和它可以调用的方法url查询出来
            String sql = "select g.id as gId,f.url as url from `grade` g,`func_permit` f where FIND_IN_SET(f.id,g.func_permit_list)";
            ResultSet rs = statement.executeQuery(sql);
            // 添加权限对应的url串
            while (rs.next()) {
                String gId = rs.getString("gId");
                String pUrl = rs.getString("url");
                Set<String> urls;
                /**
                 * 将权限信息生成hash
                 */
                if (acl.containsKey(gId)){
                    urls = acl.get(gId);
                }       
                else {
                    urls = new HashSet<String>();
                    acl.put(gId, urls);
                }
                urls.add(pUrl);
            }
            rs.close();
            statement.close();
            connection.close();
        } catch (SQLException se) {
            System.out.println("数据库连接失败!");
            se.printStackTrace();
        }
    }

}

3.写一个拦截器,项目启动时运行

package com.jeff.authority;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.util.Properties;

import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;

import com.jeff.util.PropertiesUtil;
/**
 * 权限监听器、拦截器
 * @author chen
 *
 */
public class AuthListener implements ServletContextListener {

    @Override
    public void contextDestroyed(ServletContextEvent arg0) {

    }

    @Override
    public void contextInitialized(ServletContextEvent arg0) {
        Properties properties = PropertiesUtil.getProp("jdbc.properties");
        String url = properties.getProperty("jdbc_url");
        String username = properties.getProperty("jdbc_username");
        String password = properties.getProperty("jdbc_password");
        try {
            Connection con = DriverManager.getConnection(url, username,
                    password);//数据库连接
            AuthUtil.initAuth(AuthUtil.pNames, con);
            AuthContext.initAuthContext(con);
            con.close();
        } catch (SQLException se) {
            System.out.println("数据库连接失败!");
            se.printStackTrace();
        }
    }

}

4.在web.xml配置拦截器

    <listener>
        <description>权限初始化监听器</description>
        <listener-class>com.jeff.authority.AuthListener</listener-class>
    </listener>

5.默认属性文件 authority.properties

#角色表
role = grade(id,name)
#用户角色表
#user_role = user_grade(id,user_id,grade_id)
#权限表
permission = permission(id,description,URL) 
#权限控制表ACL(access control list)
acl = acl(id,grade_id,permission_id)

6.写一个过滤器,使每次调用方法都判断权限

package com.jeff.mybatis.autobuild;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.jeff.authority.AuthContext;
import com.jeff.common.BaseInfo;
import com.jeff.util.StringUtil;

/**
 * 将分页的pager数据嵌入localthread中
 * 
 * @author jeff he
 *
 */
public class LogAndPermitFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse resp,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        String userId = "";
        MybatisContext.setUserId(BaseInfo.GetUserId(request));
        String gId = "";
        String url = "";
        try {
            String displayName = request.getContextPath();//获取项目的根路径,即项目名
            System.out.println(displayName);
            url = request.getRequestURL().toString();//获取访问的url
            int i = url.indexOf("/", url.indexOf(displayName) + 1);//项目名的长度
            int j = url.lastIndexOf(".do");
            url = url.substring(i, j);//剪切url,去掉项目名的头,和.do的尾
            //System.out.println(url);
            userId = BaseInfo.GetUserId(request);//获取session
            gId = BaseInfo.GetUserGradeId(request);
            if (StringUtil.isEmpty(userId)) {
                userId = "session中没有user";
            }
            // 将LOG数据放入当前线程
            MybatisContext.setUserId(userId);
            // System.out.println(MybatisContext.getUserId());
            if (AuthContext.checkAuth(gId, url)){//判断是否有权限
                chain.doFilter(req, resp);
            }
            else {
                System.out.println("目标地址:" + url + "   未授权");
                request.getSession().setAttribute("info", "方法未授权,请先登录系统");
                response.sendRedirect(displayName);
            }
            //chain.doFilter(req, resp);
        } catch (Exception e) {
            userId = "获取userid出现异常";
        } finally {
            // 清除LOG数据
            MybatisContext.clearContext();
        }
    }

    public void init(FilterConfig cfg) throws ServletException {

    }

    public void destroy() {

    }

}

7.在web.xml配置过滤器

    <filter>
        <description>Log拦截器</description>
        <filter-name>logAndPermitFilter</filter-name>
        <filter-class>com.jeff.mybatis.autobuild.LogAndPermitFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>logAndPermitFilter</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>

至此,所有权限拦截器配置已经完成,具体使用如下
1.controller 类上使用@AuthClass

@AuthClass
@Controller
@RequestMapping("admin")
public class AdminController {
    ..........
}

2.方法上使用@Auth

    @RequestMapping("changeType")
    @ResponseBody
    @Auth(roles = { "业务主管机构"}, description = "业务主管修改当前的type类型")
    public ResultMap changeType(HttpServletRequest request, String type) {

            ........
    }
老王的隔壁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot使用自定义注解实现权限拦截的示例
08-29
本篇文章主要介绍了SpringBoot使用自定义注解实现权限拦截的示例,具有一定的参考价值,有兴趣的可以了解一下
Spring 下基于自定义注解拦截方法调用
一叶不知秋
09-30 1623
其实很多年前就做过如此的实验,一翻开自己的日志有关于 aspectj site:unmi.cc, 可以找到  2008 年写的日志。真是流光容易把人抛,红了樱桃,绿了巴蕉。只是那时候 Spring 刚步入 2.0, 才翻开强大 AOP 的篇章,还记得彼时只要是直接使用 AspectJ 就要写  *.aj 文件。而如今 Spring 都到 5.0 了,也就是一年前才重拾起 Spring, 这期间
Java注解
q5235xx210的博客
03-03 263
Java的注解是怎么工作的什么是注解? 自Java5.0版本引入注解之后,它就成为了Java平台中非常重要的一部分。什么是注解?用一个词就可以描述注解,那就是元数据,即一种描述数据的数据。所以,可以说注解就是源代码的元数据。比如,下面这段代码:@Override public String toString() { return “This is String Representati
基于注解风格的Spring-MVC拦截器
热门推荐
Marvin
11-09 2万+
 转自  http://www.blogjava.net/atealxt/archive/2009/09/20/spring_mvc_annotation_interceptor_gae.html Spring-MVC如何使用拦截器,官方文档只给出了非注解风格的例子。那么基于注解风格如何使用拦截器呢?基于注解基本上有2个可使用的定义类,分别是DefaultAnnotat
Spring注解实现SpringMVC拦截器
IT界的彭于晏的博客
03-30 562
实现思路: 1.编写类实现HandlerInterceptor接口 2.重写接口中的方法 PreHandler: // 在被拦截资源(方法)前执行 返回值:true :放行 false:拦截 Posthandler // 在被拦截资源(方法)后执行 afterCompletion // 在Posthandler方法后执行 释放资源 3.配置拦截类 配置通过WebMvcConfiguration的实现类配置拦截器类(配置要拦截的资源) /** * 权限检查拦截器 * 定义一个权限类实
spring mvc 中 实现自定义注解 拦截需要的方法
03-31
网上很多人想使用注解拦截spring mvc action中的一个方法,实现方法很多,一般是通过在拦截器中分析url路径来实现, 使用自定义注解的方式来标注要拦截的 action 中的某个方法, 没有很好的解决方法, 如果通过借助spring...
springmvc用于方法鉴权的注解拦截器的解决方案代码
08-28
主要介绍了springmvc用于方法鉴权的注解拦截器的解决方案代码,具有一定借鉴价值,需要的朋友可以参考下。
SpringMVC实现注解式权限验证的实例
08-31
本篇文章主要介绍了SpringMVC实现注解式权限验证的实例,可以使用Spring MVC中的action拦截器来实现,具有一定的参考价值,有兴趣的可以了解下。
Spring MVC注解项目实例
11-15
spring mvc 注解 拦截器 对一个数据库表进行了增删改查操作 ,初学spring mvc框架的 可以参考 代码下载直接可以运行!~~ 包含jar和数据库sql语句
spring mvc 注解实例
09-19
spring mvc 注解 拦截器 对一个数据库表进行了增删改查操作 ,初学spring mvc框架的 可以参考 代码下载直接可以运行!~~
SpringMvc自定义拦截器(注解)代码实例
08-18
主要介绍了SpringMvc自定义拦截器(注解)代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
5.springMvc基于注解使用拦截器
yfyh2021的博客
09-15 655
1.springMvc拦截器 拦截器采用AOP的设计思想, 它跟过滤器类似, 用来拦截处理方法在之前和之后执行一些跟主业务没有关系的一些公共功能: 比如:可以实现:权限控制、日志、异常记录、记录方法执行时间..... 自定义的拦截器必须实现HandlerInterceptor接口。然后在spring配置文件中配置interceptor public class MyInterceptor implements HandlerInt...
SpringMVC拦截器、异常、其他注解
weixin_45565886的博客
07-28 595
SpringMVC拦截器、异常处理及其他注解使用
springmvc拦截器的使用
xin917480852的博客
10-03 361
定义一个拦截类 package com.xiaoxin.demo.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.HandlerInterceptor;
spring mvc使用自定义注解控制访问权限
小动物的圈圈
08-04 627
1.定义一个权限注解,该注解放在接口方法上可以拦截无权限访问的用户 package org.cloud.bank.client.annotation;import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy
通过自定义注解控制权限
weixin_38702618的博客
04-10 796
1、编写自定义注解类 /** * 自定义Access注解 * 若使用在类上,这个类的所有方法都进行权限校验,暂不支持 * 若使用在方法上,这个方法进行权限校验 */ @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented public @interf...
实现自定义权限控制(Springboot+拦截器+注解)
zhangdayan的博客
10-31 683
1、定义权限常量 Constants.java public class Constants { public static final String FRANCHISEE_TYPE_MAIN = "MAIN"; public static final String FRANCHISEE_TYPE_ADMIN = "ADMIN"; } 2、定义权限的注解Permissi...
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
【课程设计】实现的金融风控贷款违约预测python源码.zip
05-16
【课程设计】实现的金融风控贷款违约预测python源码.zip
spring mvc常用注解
08-31
Spring MVC 是一种基于注解的框架,通过使用注解可以简化开发过程并提高代码的可读性。以下是 Spring MVC 中常用的注解: 1. @Controller: 将类标记为控制器,处理用户请求。 2. @RequestMapping: 声明处理请求的方法和URL映射关系。 3. @PathVariable: 用于将URL中的变量绑定到方法参数上。 4. @RequestParam: 用于获取请求参数的值,并将其绑定到方法参数上。 5. @ResponseBody: 将方法返回的对象直接作为响应体返回给客户端。 6. @ModelAttribute: 用于将请求参数绑定到方法参数上,并将其添加到模型中。 7. @SessionAttributes: 用于指定模型中的属性需要存储到会话中。 8. @InitBinder: 用于自定义数据绑定和格式化操作。 9. @Valid: 用于对方法参数进行校验。 10. @ExceptionHandler: 处理控制器中出现的异常。 这些注解可以帮助我们更方便地处理请求、获取参数、进行数据校验等操作。当然,还有其他一些注解可以用于处理拦截器、视图解析等功能,具体使用时可以根据需求选择适合的注解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值