Struts2 用拦截器实现最基本的登录权限认证。

最新推荐文章于 2019-07-10 18:55:42 发布
最新推荐文章于 2019-07-10 18:55:42 发布
阅读量162 收藏
点赞数
文章标签: java web.xml
原文链接:https://my.oschina.net/u/1770057/blog/284071
版权

用struts2的interceptor做简单的访问权限验证。

struts配置文件方面嘛,两个文件:

struts.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
    "http://struts.apache.org/dtds/struts-2.0.dtd">
<struts>
    <!-- 其他暂且省略,脑补 -->
    <package name="auth-default" extends="struts-default" namespace="/">
        <interceptors> 
            <interceptor name ="authorizationInterceptor" 
                class ="com.xxx.xxx.interceptor.AuthorizationInterceptor" /> 
        	<interceptor-stack name="auth">
        		<interceptor-ref name="defaultStack"/><!-- 不加这个好多东西用不了=。= -->
        		<interceptor-ref name="authorizationInterceptor"/><!-- 重点~ -->
        	</interceptor-stack>
        </interceptors>
        <!-- Interceptor验证失败的时候需要用到的跳转结果 -->
        <global-results>
            <result name="authInterceptor"  type="redirectAction">authInterceptor</result>
        </global-results>
        
        <action name="authInterceptor" 
            class="com.xxx.xxx.interceptor.AuthorizationInterceptor">
        	<result name="success">index.jsp</result>
        </action>
    </package>
    
    <include file="accountmgt_struts.xml"/>
</struts>

为什么这个AuthorizationInterceptor是个Interceptor又是个Action捏? 因为我不知道怎么在Interceptor中设置错误消息。。。就借用了Action的setActionError();这种东西。。。当然,我是初学者,别信我。。

accountmgt_struts.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
    "http://struts.apache.org/dtds/struts-2.0.dtd">
    <struts>
        <package name="accountmgt" extends="auth-default" namespace="/">
            <!-- 需要控制权限的类 -->
            <action name="doSomthing" class="com.xxx.xxx.accountmgt.action.SomeAction"
	        method="addMethod">
	            <interceptor-ref name ="auth"/><!-- 我一个一个action加的,所以这么写 -->
		    <result name="success">success.jsp</result>
		    <result name="input">error.jsp</result>
	    </action>
	    <!-- 不需要控制权限的类 -->
	    <action name="login" class="com.xxx.xxx.accountmgt.action.LoginAction"
        	method="login">
		    <result name="success" type="redirectAction">successAction</result>
	    </action>
        </package>
    </struts>


类方面:

AuthorizationInterceptor.java

package com.xxx.xxx.interceptor;

import java.util.Map;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.ActionSupport;
import com.opensymphony.xwork2.ValidationAwareSupport;
import com.opensymphony.xwork2.interceptor.Interceptor;
import com.opensymphony.xwork2.util.logging.Logger;
import com.opensymphony.xwork2.util.logging.LoggerFactory;

/**
 * @version 0.1 BETA
 * @author fengym <fengym@soulgame.com>
 * Description 拦截器实现基本的权限验证  因为没有spring而却不让用SpringSecurityT_T
 */
public class AuthorizationInterceptor extends ActionSupport implements Interceptor  {

	/**
	 * 权限验证。
	 */
	private static final Logger LOG = LoggerFactory.getLogger(AuthorizationInterceptor.class);
	private static final long serialVersionUID = 1L;
	private final ValidationAwareSupport validationAware = new ValidationAwareSupport();
	
	@Override
	public String intercept(ActionInvocation invocation) throws Exception {
		Map<String, Object> session = invocation.getInvocationContext()  
                .getSession();  
		long user_id = -1l;
		boolean authflag = false;
		if(session != null && session.get("userid") != null){
			user_id=(long)session.get("userid");
			if(user_id > 0){  
				authflag = true;
			}
		}
	
		if(authflag){
			return invocation.invoke(); 
		}else{
				
			return "authInterceptor"; 
		}
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void init() {
		// TODO Auto-generated method stub
		
	}
	public String execute() {
		addActionError("您还没有登录,请登陆系统");//白痴实现方法。。。
		return SUCCESS;
	}
}

核心好像就是这些。

自己看代码理解吧,反正我也不是很明白。


补充:

这个东西实际上少了对jsp的拦截。

所以最好追加一个filter来对jsp进行权限验证:

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://xmlns.jcp.org/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" id="WebApp_ID" version="2.4">
  <display-name>Account Manager</display-name>
  <filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
  </filter>
  <filter>
  	<filter-name>auth</filter-name>
  	<filter-class>com.xxx.xxx.filter.AuthorizationFilter</filter-class>
  	<init-param>
  		<param-name>noAuthURLs</param-name>
  		<param-value>index.jsp,login.jsp,Register.jsp</param-value>
  	</init-param>
  	<init-param>
  		<param-name>redirectPath</param-name>
  		<param-value>index.jsp</param-value>
  	</init-param>
  </filter>
  
  <filter-mapping>
  	<filter-name>auth</filter-name>
  	<url-pattern>*.jsp</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  
  
  <welcome-file-list>
    <welcome-file>index.jsp </welcome-file>
  </welcome-file-list>
</web-app>

AuthorizationFilter.java

package com.xxx.xxx.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
import javax.servlet.http.HttpSession;

import com.opensymphony.xwork2.util.logging.Logger;
import com.opensymphony.xwork2.util.logging.LoggerFactory;
/**
 * @version 0.1 BETA
 * @author fengym <fengym@soulgame.com>
 * Description JSP页面基本的权限验证
 */
public class AuthorizationFilter implements Filter{
	private static final Logger LOG = LoggerFactory.getLogger(AuthorizationFilter.class);
	
	private String redirectPath = "";
	private String [] noAuthURLs ;
	@Override
	public void destroy() {
		// nothing
		
	}

	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletResponse response = (HttpServletResponse)servletResponse;
		HttpServletResponseWrapper wrapper = new HttpServletResponseWrapper(response);
		String currentURL = request.getRequestURI();
		HttpSession session = request.getSession(false);
		
//		if(isContains(currentURL)){
//		    chain.doFilter(request, response);
//                  return;
//		}
//		
		//所验证页面属于非验证页面,或者session不为空,session中含有userid并且userid>0的情况下,通过验证。
		if(isContains(currentURL) || ( session!=null	
						&& session.getAttribute("userid")!=null
						&& (long)session.getAttribute("userid")>0)){
		    chain.doFilter(request, response);
                    return;
		}else{
        	    wrapper.sendRedirect(redirectPath);
                    return;
		}
	}
	
	
	/**
	 * 判断是否是需要拦截的页面。
	 * @param url
	 * @return 判断结果
	 */
	public boolean isContains(String url){
		if(LOG.isDebugEnabled()){
			LOG.debug("判断是否是需要拦截的页面!");
		}
		boolean checkResult = false;
		
		for(String noAuthURL : noAuthURLs){
			checkResult = url.indexOf(noAuthURL)>-1?true:false;
			
			if(checkResult){
				break;
			}
		}
		return checkResult;
		
	}
	
	/**
	 * filter初期化
	 * @param filterConfig
	 */
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		if(LOG.isDebugEnabled()){
			LOG.debug("初始化 Filter");
		}
		noAuthURLs = filterConfig.getInitParameter("noAuthURLs").split(",");
		redirectPath = filterConfig.getInitParameter("redirectPath");
	}

}


搞定

下次直接copy了,哇哈哈哈。

转载于:https://my.oschina.net/u/1770057/blog/284071

chixun6594
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSH学习——Struts2拦截器实现登录权限验证
Coder Yasmine
01-31 5402
前言       都知道网站安全很重要,特别是网站后台。网站后台可以对网站信息进行管理,但是如果没有登录就可以直接访问管理页,那风险就大了去了。所以在进入管理页之前,一定要做登录验证,这时Struts2拦截器就可以很好的发挥作用了。   Struts2拦截器       拦截器Struts2的核心,可以在Action和result进行之前或之后进行处理。它是基于AOP的原理实现的,...
Struts2拦截器实现权限控制demo
05-08
通过以上步骤,我们可以实现一个基本的基于Struts2拦截器权限控制系统。这个demo对于初学者来说,是一个很好的起点,可以帮助他们理解如何在实际项目中结合Struts2拦截器权限控制来增强应用的安全性。在实际...
Struts2 拦截器 实现登录权限
xiantingxinbuone的专栏
08-17 933
拦截器 struts.xml改变默认拦截器 开发权限验证拦截器 ①用户登陆成功后,保存User对象到session对象中 ②拦截器中获取session对象,判断其中user对象是否为空 为空,返回到登录,不为空,继续操作 ③部分代码: [java] view plaincopy public class AuthIntercep
struts2自定义拦截器一——模拟登陆权限验证
weixin_34226182的博客
03-19 89
1、http://localhost:8083/struts2/user.jsp 表示用户已登陆,存放session对象 2、http://localhost:8083/struts2/quit.jsp 表示用户已退出,移除session对象 3、http://localhost:8083/struts2/login/addUIHelloWorld.do  如果session存在则往下执行,否...
Struts2基于XML配置文件实现权限校验
郭新宇 天道酬勤
10-30 637
对于网站的后台,没有经过用户登录是不允许直接访问页面的,即使直接把访问地址写全,也会因为没有登录,而跳转到登录页面。这就是简单的权限校验,如何通过struts2实现权限校验呢?   首先编写拦截器: public class PrivilegeInterceptor extends MethodFilterInterceptor { //执行拦截的方法 @Override prot
vue添加拦截器(身份认证)以及cookie认证
weixin_33724046的博客
06-12 922
一、安装vuex和cookies npm install vuex --save npm install vue-cookies --save 在全局变量文件中引用 import Vue from 'vue' import Vuex from 'vuex' import Cookie from 'vue-cookies' Vue.use(Vuex); expor...
Struts2拦截器登录验证实例
08-30
本文将详细介绍如何在Struts2实现登录验证的拦截器实例。 1. **拦截器概念** - 拦截器类似于面向切面编程(AOP)中的切面,它可以在Action调用前或后执行特定的逻辑。在Struts2中,拦截器是可插拔的,可以按照特定...
java Struts2拦截器里的跳转问题
01-08
错误处理拦截器应放在较低的优先级,以便在其他拦截器(如认证权限检查等)之后执行。 5. **日志和异常处理**:确保捕获并适当地记录异常,以帮助调试和理解问题的根源。可以创建一个专门的异常拦截器来处理所有...
struts2拦截器实现用户登录权限的验证
01-24
### Struts2拦截器实现用户登录权限的验证 在Web应用开发中,用户登录权限验证是确保系统安全的重要环节之一。Struts2框架提供了一种灵活的方式来实现这一功能:通过自定义拦截器来控制用户的访问权限。下面我们将...
java中的Struts2拦截器详解
08-31
Struts2 拦截器是一种强大且灵活的机制,它可以在 action 之前或之后执行某些操作,实现一些通用的功能,如权限认证、日志记录和登陆判断等。 1. 什么是拦截器拦截器相当于过滤器,将不想要的去掉,想要的留下...
java拦截器处理用户登录信息,以及app接口校验
07-13
拦截器统一处理用户的请求信息,包含网站的用户登录验证以及app的接口规范。
SpringMVC拦截器应用(实现登陆认证
Marvel__Dead 胡艺宝的博客
05-13 855
介绍1、用户请求url 2、拦截器进行拦截校验 如果请求的url是公开地址(无需登陆即可访问的url),让放行 如果用户session 不存在跳转到登陆页面 如果用户session存在放行,继续操作。登陆controller方法@Controller public class LoginController { // 登陆 @RequestMapping
SpringBoot2.0前后端分离开发之用户身份认证实战 (后端实现)
08-07
课程简介:本课程主要是跟各位小伙伴分享、介绍并实战两大核心的用户身份认证(接口鉴权)模式,即基于Token的认证模式 以及 基于Session的认证模式,其中 (1)   基于Token的认证模式 则主要介绍了三种核心、主流的认证模式,即基于Token+数据库、基于Token+缓存中间件Redis、基于Token+JWT的认证模式。 (2)   基于Session的认证模式 也主要介绍了三种核心、主流的认证模式,即基于原生Spring Session以及Session共享的认证模式、基于Shiro Session的认证模式、基于Shiro + Redis 的Session共享认证模式 即课程的整体介绍如下图所示: 核心技术栈列表:值得介绍的是,本课程在技术栈层面涵盖了“用户身份认证”、“接口鉴权”等业务场景常用的大部分技术,包括Spring Boot2.x、Spring MVC、Mybatis、加密解密算法AES、雪花算法Snowflake、统一验参工具ValidatorUtil、JWT(Json Web Token)、缓存中间件Redis、Shiro(身份认证与会话等等)、过滤器Filter、拦截器Interceptor、热部署插件Devtools、等等,如下图所示 值得一提的是,本课程所介绍的核心重点在于“仅仅围绕基于Token的认证模式”进行展开讲解与实战,如下图所示为Debug亲自罗列、归纳出来的几大核心要点(面试官就经常喜欢这样面): 如下图所示为 基于Token认证模式 总体上的时序图:
CAS实现SSO配置简要指南
smilingleo的专栏
12-25 4019
首先弄清楚两个概念CAS Server和CAS Client.CAS Server就是统一验证用户身份的web app,这里使用esup-cas-server。CAS Client是待整合到SSO体系的原有或后开发的应用系统。一般部署在不同的Server上。1、下载CAS Server我采用的是esup-cas-server主要配置:WEB-INF/genericHandler.xml
MongoDB服务器安装及配置日志及日志使用
dyh200896的专栏
07-10 5261
操作一个数据库,日志非常重要,定位问题几乎时时刻刻用到。所以如何配置,如何获取日志应该成为必备技能。以下搜集了一些参考资料,可以通过以下资料明白自己搭建MongoDB服务器如何配置日志及级别等,利于学习及备份。 举例一个稍微奇葩的应用场景,有一天某表数据莫名被删了,恢复后又莫名被删了,如果没人出来回应,有涉及到多个产品线,上百号人,那通过日志即使没人承认,也是非常快地可以知道是谁干的,是人干的还...
原创:struts2技术实现用户名唯一的验证处理详解
redarmychen的专栏
03-13 3376
在项目的开发过程中离不开用户名唯一的验证或者邮件唯一的验证.那通过struts2技术是怎么实现,下面以用户名唯一验证案例讲解。 实现效果:       当用户名输入框失去焦点的时候,能够实现用户名唯一的验证 步骤:   1、设计界面代码 并且引入js文件 2、在util.js文件中封装      1、通过id获取dom对象的方法      2、创建XMLHTT
SpringMvc使用拦截器实现登录认证
小熊的专栏
09-14 1269
添加login拦截器在lgon拦截器实现除了登录页面,其他页面都验证session是否有name属性,否则跳转到登录页面 spring-mvx.xml<mvc:interceptors> <!-- 拦截器 --> <mvc:interceptor> <mvc:mapping path="/**"/> <bean cla
Struts2核心技术:过滤器、拦截器、OGNL与标签应用详解
此外,还涵盖了如何利用拦截器进行功能扩展,如MethodFilterInterceptor用于灵活拦截、TokenInterceptor防止表单重复提交、权限验证和回调操作。 OGNL(Object-Graph Navigation Language)与ValueStack(值栈)是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值