基于Struts2拦截器的权限控制

最新推荐文章于 2021-01-14 09:32:21 发布
最新推荐文章于 2021-01-14 09:32:21 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: Java汇集 文章标签: struts string integer class methods insert

最近闲来无事,自己做了个通过struts2拦截器的权限控制的小例子。主要是通过struts2的核心拦截器机制,不依赖于容器,实现一个可以精确到方法上的细粒度的权限控制。

     该小例子借鉴了网上一些前辈们,还有学界同行们的项目经验,我取其优秀的部分,稍加加工,改造而成,还非常不完善,欢迎大家批评指正。该小例子只供学习交流,无意于商业化中使用,也无意于挑起任何争端。

    下面是一些类的代码,这里可能需要大家对注解比较熟悉,不过不熟悉也不影响,和xml配置文件起的是一样的作用,都是将属性映射成为表的字段。

首先呢,建立一个注解类,名字叫Permission。这个注解类的代码如下

Java代码
package com.zxyg.web.action.privilege;   
  1.   
  2. import java.lang.annotation.ElementType;   
  3. import java.lang.annotation.Retention;   
  4. import java.lang.annotation.RetentionPolicy;   
  5. import java.lang.annotation.Target;   
  6.   
  7. /**  
  8.  * 权限配置 注解类  
  9.  * @author Lan  
  10.  *  
  11.  */  
  12. @Retention(RetentionPolicy.RUNTIME) //注解的存活时间,整个运行时都存活   
  13. @Target(ElementType.METHOD) //此注解表示只能在方法上面有效   
  14. public @interface Permission {   
  15.     /** 模块名 **/  
  16.     String model();   
  17.     /** 权限值 **/  
  18.     String privilegeValue();   
  19. }  
package com.zxyg.web.action.privilege;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 权限配置 注解类
 * @author Lan
 *
 */
@Retention(RetentionPolicy.RUNTIME) //注解的存活时间,整个运行时都存活
@Target(ElementType.METHOD) //此注解表示只能在方法上面有效
public @interface Permission {
	/** 模块名 **/
	String model();
	/** 权限值 **/
	String privilegeValue();
}


这个类,就是将来要在方法上打标记的。

接下来要建立几个跟权限相关的实体类了。
首先是权限实体类,类的代码如下

Java代码
  1. package com.zxyg.bean.privilege;   
  2.   
  3. import javax.persistence.Column;   
  4. import javax.persistence.EmbeddedId;   
  5. import javax.persistence.Entity;   
  6. import javax.persistence.Table;   
  7.   
  8. /**  
  9.  * 系统权限实体  
  10.  * @author Lan  
  11.  *   
  12.  */  
  13. @Entity  
  14. @Table(name="t_systemprivilege")   
  15. public class SystemPrivilege {   
  16.     /** 权限值**/  
  17.     private SystemPrivilegePK id;   
  18.     /** 权限名称**/  
  19.     private String name;   
  20.        
  21.     public SystemPrivilege() {}   
  22.   
  23.     public SystemPrivilege(SystemPrivilegePK id) {   
  24.         this.id = id;   
  25.     }   
  26.   
  27.     public SystemPrivilege(String model, String privilegeValue, String name) {   
  28.         this.id = new SystemPrivilegePK(model, privilegeValue);   
  29.         this.name = name;   
  30.     }   
  31.   
  32.     @EmbeddedId //复合主键的标注   
  33.     public SystemPrivilegePK getId() {   
  34.         return id;   
  35.     }   
  36.   
  37.     public void setId(SystemPrivilegePK id) {   
  38.         this.id = id;   
  39.     }   
  40.   
  41.     @Column(length=20, nullable=false)   
  42.     public String getName() {   
  43.         return name;   
  44.     }   
  45.   
  46.     public void setName(String name) {   
  47.         this.name = name;   
  48.     }   
  49. }  
package com.zxyg.bean.privilege;

import javax.persistence.Column;
import javax.persistence.EmbeddedId;
import javax.persistence.Entity;
import javax.persistence.Table;

/**
 * 系统权限实体
 * @author Lan
 * 
 */
@Entity
@Table(name="t_systemprivilege")
public class SystemPrivilege {
	/** 权限值**/
	private SystemPrivilegePK id;
	/** 权限名称**/
	private String name;
	
	public SystemPrivilege() {}

	public SystemPrivilege(SystemPrivilegePK id) {
		this.id = id;
	}

	public SystemPrivilege(String model, String privilegeValue, String name) {
		this.id = new SystemPrivilegePK(model, privilegeValue);
		this.name = name;
	}

	@EmbeddedId //复合主键的标注
	public SystemPrivilegePK getId() {
		return id;
	}

	public void setId(SystemPrivilegePK id) {
		this.id = id;
	}

	@Column(length=20, nullable=false)
	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}
}


这个类主要包含两个属性,一个是权限值,另外一个是权限的名称,权限值呢,实际也是一个类,这里采用的是复合主键的形式,权限值的实体类代码如下

Java代码
  1. package com.zxyg.bean.privilege;   
  2.   
  3. import javax.persistence.Column;   
  4. import javax.persistence.Embeddable;   
  5.   
  6. /**  
  7.  * 系统权限复合主键类  
  8.  * @author Lan  
  9.  *   
  10.  */  
  11. @Embeddable  
  12. public class SystemPrivilegePK {   
  13.     /** 模块名 **/  
  14.     private String model;   
  15.     /** 权限值 **/  
  16.     private String privilegeValue;   
  17.        
  18.     public SystemPrivilegePK() {}   
  19.   
  20.     public SystemPrivilegePK(String model, String privilegeValue) {   
  21.         this.model = model;   
  22.         this.privilegeValue = privilegeValue;   
  23.     }   
  24.   
  25.     @Column(length=25, name="model")   
  26.     public String getModel() {   
  27.         return model;   
  28.     }   
  29.   
  30.     public void setModel(String model) {   
  31.         this.model = model;   
  32.     }   
  33.   
  34.     @Column(length=20, name="privilegeValue")   
  35.     public String getPrivilegeValue() {   
  36.         return privilegeValue;   
  37.     }   
  38.   
  39.     public void setPrivilegeValue(String privilegeValue) {   
  40.         this.privilegeValue = privilegeValue;   
  41.     }   
  42. }  
package com.zxyg.bean.privilege;

import javax.persistence.Column;
import javax.persistence.Embeddable;

/**
 * 系统权限复合主键类
 * @author Lan
 * 
 */
@Embeddable
public class SystemPrivilegePK {
	/** 模块名 **/
	private String model;
	/** 权限值 **/
	private String privilegeValue;
	
	public SystemPrivilegePK() {}

	public SystemPrivilegePK(String model, String privilegeValue) {
		this.model = model;
		this.privilegeValue = privilegeValue;
	}

	@Column(length=25, name="model")
	public String getModel() {
		return model;
	}

	public void setModel(String model) {
		this.model = model;
	}

	@Column(length=20, name="privilegeValue")
	public String getPrivilegeValue() {
		return privilegeValue;
	}

	public void setPrivilegeValue(String privilegeValue) {
		this.privilegeValue = privilegeValue;
	}
}


这个类有两个属性,一个是模块的名称,一个是模块对应的值。其实呢,这里在数据库里面的权限表里存储的就是对某个资源的什么操作,描述名称是什么,比如
role delete 角色删除
意思就是对role这个模块的删除操作,这个呢,就是一个具体的权限。
最后一个实体类就比较简单了,是角色类,类代码如下

Java代码
  1. package com.zxyg.bean.privilege;   
  2.   
  3. import java.util.HashSet;   
  4. import java.util.Set;   
  5.   
  6. import javax.persistence.CascadeType;   
  7. import javax.persistence.Column;   
  8. import javax.persistence.Entity;   
  9. import javax.persistence.FetchType;   
  10. import javax.persistence.GeneratedValue;   
  11. import javax.persistence.Id;   
  12. import javax.persistence.JoinColumn;   
  13. import javax.persistence.JoinTable;   
  14. import javax.persistence.ManyToMany;   
  15. import javax.persistence.Table;   
  16.   
  17. import com.zxyg.bean.organization.Employee;   
  18.   
  19.   
  20. /**  
  21.  * 角色实体  
  22.  * @author Lan  
  23.  *   
  24.  */  
  25. @Entity  
  26. @Table(name="t_role")   
  27. public class Role {   
  28.     /** 主键ID* */  
  29.     private Integer id;   
  30.     /** 角色名称* */  
  31.     private String name;   
  32.     /** 存放权限的集合,角色和权限是多对多的关系 * */  
  33.     private Set<SystemPrivilege> privileges = new HashSet<SystemPrivilege>();   
  34.        
  35.     public Role() {}   
  36.        
  37.     public Role(Integer id) {   
  38.         this.id = id;   
  39.     }   
  40.   
  41.     @Id @GeneratedValue  
  42.     public Integer getId() {   
  43.         return id;   
  44.     }   
  45.   
  46.     public void setId(Integer id) {   
  47.         this.id = id;   
  48.     }   
  49.   
  50.     @Column(length=20, nullable=false)   
  51.     public String getName() {   
  52.         return name;   
  53.     }   
  54.   
  55.     public void setName(String name) {   
  56.         this.name = name;   
  57.     }   
  58.   
  59.     @ManyToMany(cascade=CascadeType.REFRESH, fetch=FetchType.EAGER)   
  60.     @JoinTable(name="t_role_privilege", joinColumns=@JoinColumn(name="roleid"),   
  61.             inverseJoinColumns={@JoinColumn(name="model", referencedColumnName="model"),   
  62.                                 @JoinColumn(name="privilegeValue", referencedColumnName="privilegeValue")}) //中间表,来存放角色、权限的关系   
  63.     public Set<SystemPrivilege> getPrivileges() {   
  64.         return privileges;   
  65.     }   
  66.   
  67.     public void setPrivileges(Set<SystemPrivilege> privileges) {   
  68.         this.privileges = privileges;   
  69.     }   
  70.        
  71.     //定义此方法,方便添加权限   
  72.     public void addPrivilege(SystemPrivilege privilege) {   
  73.         this.privileges.add(privilege);   
  74.     }   
  75. }  
package com.zxyg.bean.privilege;

import java.util.HashSet;
import java.util.Set;

import javax.persistence.CascadeType;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;
import javax.persistence.JoinColumn;
import javax.persistence.JoinTable;
import javax.persistence.ManyToMany;
import javax.persistence.Table;

import com.zxyg.bean.organization.Employee;


/**
 * 角色实体
 * @author Lan
 * 
 */
@Entity
@Table(name="t_role")
public class Role {
	/** 主键ID* */
	private Integer id;
	/** 角色名称* */
	private String name;
	/** 存放权限的集合,角色和权限是多对多的关系 * */
	private Set<SystemPrivilege> privileges = new HashSet<SystemPrivilege>();
	
	public Role() {}
	
	public Role(Integer id) {
		this.id = id;
	}

	@Id @GeneratedValue
	public Integer getId() {
		return id;
	}

	public void setId(Integer id) {
		this.id = id;
	}

	@Column(length=20, nullable=false)
	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	@ManyToMany(cascade=CascadeType.REFRESH, fetch=FetchType.EAGER)
	@JoinTable(name="t_role_privilege", joinColumns=@JoinColumn(name="roleid"),
			inverseJoinColumns={@JoinColumn(name="model", referencedColumnName="model"),
		                        @JoinColumn(name="privilegeValue", referencedColumnName="privilegeValue")}) //中间表,来存放角色、权限的关系
	public Set<SystemPrivilege> getPrivileges() {
		return privileges;
	}

	public void setPrivileges(Set<SystemPrivilege> privileges) {
		this.privileges = privileges;
	}
	
	//定义此方法,方便添加权限
	public void addPrivilege(SystemPrivilege privilege) {
		this.privileges.add(privilege);
	}
}


这个类就比较简单了,具体看一下其中的关系即可,这里就不多做赘述了。
当你有一个Action类的时候,需要在方法上加标注描述了。举例如下

Java代码
  1. package com.zxyg.web.action.privilege;   
  2.   
  3. import java.io.Serializable;   
  4.   
  5. import javax.annotation.Resource;   
  6.   
  7. import org.springframework.context.annotation.Scope;   
  8. import org.springframework.stereotype.Controller;   
  9.   
  10.   
  11. import com.opensymphony.xwork2.ActionContext;   
  12. import com.zxyg.bean.privilege.Role;   
  13. import com.zxyg.bean.privilege.SystemPrivilege;   
  14. import com.zxyg.bean.privilege.SystemPrivilegePK;   
  15. import com.zxyg.service.privilege.RoleService;   
  16. import com.zxyg.service.privilege.SystemPrivilegeService;   
  17. import com.zxyg.utils.SiteUrl;   
  18. import com.zxyg.web.action.base.BaseSupport;   
  19.   
  20. @Controller @Scope("prototype")   
  21. public class RoleManageAction extends BaseSupport {   
  22.     private static final long serialVersionUID = 1L;   
  23.     @Resource private RoleService roleService;   
  24.     @Resource private SystemPrivilegeService privilegeService;   
  25.     private Role role;   
  26.        
  27.     //接收前端传过来的权限数组,如"角色添加"、"角色删除"等   
  28.     private SystemPrivilegePK[] privileges;   
  29.        
  30.     //接收前端传过来的roleid参数   
  31.     private Integer roleid;   
  32.        
  33.     public Integer getRoleid() {   
  34.         return roleid;   
  35.     }   
  36.   
  37.     public void setRoleid(Integer roleid) {   
  38.         this.roleid = roleid;   
  39.     }   
  40.   
  41.     public SystemPrivilegePK[] getPrivileges() {   
  42.         return privileges;   
  43.     }   
  44.   
  45.     public void setPrivileges(SystemPrivilegePK[] privileges) {   
  46.         this.privileges = privileges;   
  47.     }   
  48.   
  49.     public Role getRole() {   
  50.         return role;   
  51.     }   
  52.   
  53.     public void setRole(Role role) {   
  54.         this.role = role;   
  55.     }   
  56.   
  57.   
  58.     /**  
  59.      * 显示角色添加页面  
  60.      * @return  
  61.      */  
  62.     @Permission(model="role", privilegeValue="insert")   
  63.     public String addUI() {   
  64.         ActionContext.getContext().put("privileges", privilegeService.getScrollData().getResultlist());   
  65.         return "add";   
  66.     }   
  67.        
  68.     /**  
  69.      * 添加角色  
  70.      * @return  
  71.      */  
  72.     @Permission(model="role", privilegeValue="insert")   
  73.     public String add() {   
  74.         for(SystemPrivilegePK id : privileges) {   
  75.             role.addPrivilege(new SystemPrivilege(id));   
  76.         }   
  77.         roleService.save(role);   
  78.         ActionContext context = ActionContext.getContext();   
  79.         context.put("message""添加角色成功");   
  80.         context.put("urladdress", SiteUrl.readUrl("control.role.list"));   
  81.         return "message";   
  82.     }   
  83.        
  84.     /**  
  85.      * 显示角色修改页面  
  86.      * @return  
  87.      */  
  88.     @Permission(model="role", privilegeValue="update")   
  89.     public String updateUI() {   
  90.         role = roleService.find((Serializable)roleid);   
  91.         ActionContext context = ActionContext.getContext();   
  92.         context.put("role", role);   
  93.         context.put("privileges", privilegeService.getScrollData().getResultlist());   
  94.         context.put("selectprivileges", role.getPrivileges());   
  95.         return "edit";   
  96.     }   
  97.        
  98.     /**  
  99.      * 修改角色  
  100.      * @return  
  101.      */  
  102.     @Permission(model="role", privilegeValue="update")   
  103.     public String update() {   
  104.         Role old_role = roleService.find((Serializable)roleid);   
  105.         old_role.setName(role.getName());   
  106.         old_role.getPrivileges().clear();   
  107.         for(SystemPrivilegePK id : privileges) {   
  108.             old_role.addPrivilege(new SystemPrivilege(id));   
  109.         }   
  110.         roleService.update(old_role);   
  111.         ActionContext context = ActionContext.getContext();   
  112.         context.put("message""修改角色成功");   
  113.         context.put("urladdress", SiteUrl.readUrl("control.role.list"));   
  114.         return "message";   
  115.     }   
  116.        
  117.     /**  
  118.      * 删除角色  
  119.      * @return  
  120.      */  
  121.     @Permission(model="role", privilegeValue="delete")   
  122.     public String delete() {   
  123.         roleService.delete((Serializable)roleid);   
  124.         ActionContext context = ActionContext.getContext();   
  125.         context.put("message""删除角色成功");   
  126.         context.put("urladdress", SiteUrl.readUrl("control.role.list"));   
  127.         return "message";   
  128.     }   
  129. }  
package com.zxyg.web.action.privilege;

import java.io.Serializable;

import javax.annotation.Resource;

import org.springframework.context.annotation.Scope;
import org.springframework.stereotype.Controller;


import com.opensymphony.xwork2.ActionContext;
import com.zxyg.bean.privilege.Role;
import com.zxyg.bean.privilege.SystemPrivilege;
import com.zxyg.bean.privilege.SystemPrivilegePK;
import com.zxyg.service.privilege.RoleService;
import com.zxyg.service.privilege.SystemPrivilegeService;
import com.zxyg.utils.SiteUrl;
import com.zxyg.web.action.base.BaseSupport;

@Controller @Scope("prototype")
public class RoleManageAction extends BaseSupport {
	private static final long serialVersionUID = 1L;
	@Resource private RoleService roleService;
	@Resource private SystemPrivilegeService privilegeService;
	private Role role;
	
	//接收前端传过来的权限数组,如"角色添加"、"角色删除"等
	private SystemPrivilegePK[] privileges;
	
	//接收前端传过来的roleid参数
	private Integer roleid;
	
	public Integer getRoleid() {
		return roleid;
	}

	public void setRoleid(Integer roleid) {
		this.roleid = roleid;
	}

	public SystemPrivilegePK[] getPrivileges() {
		return privileges;
	}

	public void setPrivileges(SystemPrivilegePK[] privileges) {
		this.privileges = privileges;
	}

	public Role getRole() {
		return role;
	}

	public void setRole(Role role) {
		this.role = role;
	}


	/**
	 * 显示角色添加页面
	 * @return
	 */
	@Permission(model="role", privilegeValue="insert")
	public String addUI() {
		ActionContext.getContext().put("privileges", privilegeService.getScrollData().getResultlist());
		return "add";
	}
	
	/**
	 * 添加角色
	 * @return
	 */
	@Permission(model="role", privilegeValue="insert")
	public String add() {
		for(SystemPrivilegePK id : privileges) {
			role.addPrivilege(new SystemPrivilege(id));
		}
		roleService.save(role);
		ActionContext context = ActionContext.getContext();
		context.put("message", "添加角色成功");
		context.put("urladdress", SiteUrl.readUrl("control.role.list"));
		return "message";
	}
	
	/**
	 * 显示角色修改页面
	 * @return
	 */
	@Permission(model="role", privilegeValue="update")
	public String updateUI() {
		role = roleService.find((Serializable)roleid);
		ActionContext context = ActionContext.getContext();
		context.put("role", role);
		context.put("privileges", privilegeService.getScrollData().getResultlist());
		context.put("selectprivileges", role.getPrivileges());
		return "edit";
	}
	
	/**
	 * 修改角色
	 * @return
	 */
	@Permission(model="role", privilegeValue="update")
	public String update() {
		Role old_role = roleService.find((Serializable)roleid);
		old_role.setName(role.getName());
		old_role.getPrivileges().clear();
		for(SystemPrivilegePK id : privileges) {
			old_role.addPrivilege(new SystemPrivilege(id));
		}
		roleService.update(old_role);
		ActionContext context = ActionContext.getContext();
		context.put("message", "修改角色成功");
		context.put("urladdress", SiteUrl.readUrl("control.role.list"));
		return "message";
	}
	
	/**
	 * 删除角色
	 * @return
	 */
	@Permission(model="role", privilegeValue="delete")
	public String delete() {
		roleService.delete((Serializable)roleid);
		ActionContext context = ActionContext.getContext();
		context.put("message", "删除角色成功");
		context.put("urladdress", SiteUrl.readUrl("control.role.list"));
		return "message";
	}
}


看到这些方法上面的描述了吧,其实最终是要取得这些标注描述再来判断权限的。呵呵,接下来我们就写个拦截器了,这里面就是具体描述,当用户登录后如何和这些方法上的标注相互比对进行权限控制的,拦截器代码如下:

Java代码
  1. package com.zxyg.web.action.privilege;   
  2.   
  3. import java.lang.reflect.Method;   
  4.   
  5. import org.apache.struts2.ServletActionContext;   
  6.   
  7. import com.opensymphony.xwork2.ActionContext;   
  8. import com.opensymphony.xwork2.ActionInvocation;   
  9. import com.opensymphony.xwork2.interceptor.Interceptor;   
  10. import com.zxyg.bean.organization.Employee;   
  11. import com.zxyg.bean.privilege.Role;   
  12. import com.zxyg.bean.privilege.SystemPrivilege;   
  13. import com.zxyg.bean.privilege.SystemPrivilegePK;   
  14. import com.zxyg.utils.SiteUrl;   
  15.   
  16. /**  
  17.  * 使用拦截器进行系统权限的拦截  
  18.  * @author Lan  
  19.  *   
  20.  */  
  21. public class PermissionInterceptor implements Interceptor {   
  22.     private static final long serialVersionUID = 1L;   
  23.   
  24.     public void destroy() {}   
  25.   
  26.     public void init() {}   
  27.   
  28.     /**  
  29.      * 处理权限拦截  
  30.      */  
  31.     public String intercept(ActionInvocation invocation) throws Exception {   
  32.         Employee employee = (Employee) ServletActionContext.getRequest().getSession().getAttribute("employee"); //取得当前登录的用户   
  33.         if (validate(employee, invocation)) {   
  34.             return invocation.invoke();   
  35.         }   
  36.         ActionContext context = ActionContext.getContext();   
  37.         context.put("message""你没有权限执行该操作");   
  38.         context.put("urladdress", SiteUrl.readUrl("control.center.right"));   
  39.         return "message";   
  40.     }   
  41.   
  42.     /**  
  43.      * 校验控制在方法上的拦截  
  44.      */  
  45.     public boolean validate(Employee employee, ActionInvocation invocation) {   
  46.         String methodName= "execute"//定义默认的访问方法   
  47.         Method currentMethod = null;   
  48.         methodName = invocation.getProxy().getMethod(); //通过actionProxy,得到当前正在执行的方法名   
  49.         try {   
  50.             currentMethod = invocation.getProxy().getAction().getClass().getMethod(methodName, new Class[] {}); //利用反射,通过方法名称得到具体的方法   
  51.             /*Method[] methods = invocation.getProxy().getAction().getClass().getMethods(); //如果不确定方法的具体参数,也可以迭代比较,速度较慢  
  52.             for(Method method : methods ) {  
  53.                 if(method.getName().equals(methodName)) {  
  54.                     currentMethod = method;  
  55.                     break;  
  56.                 }  
  57.             }*/  
  58.         } catch (Exception e) {   
  59.         }   
  60.         if (currentMethod != null && currentMethod.isAnnotationPresent(Permission.class)) {   
  61.             Permission permission = currentMethod.getAnnotation(Permission.class); //得到方法上的Permission注解   
  62.             SystemPrivilege privilege = new SystemPrivilege(new SystemPrivilegePK(permission.model(), permission.privilegeValue())); //通过Permission注解构造出系统权限   
  63.             for (Role role : employee.getRoles()) { //迭代用户所具有的具体权限,如果包含,返回true   
  64.                 if (role.getPrivileges().contains(privilege))    
  65.                     return true;   
  66.             }   
  67.             return false;   
  68.         }   
  69.         return true;   
  70.     }   
  71.   
  72. }  
package com.zxyg.web.action.privilege;

import java.lang.reflect.Method;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.Interceptor;
import com.zxyg.bean.organization.Employee;
import com.zxyg.bean.privilege.Role;
import com.zxyg.bean.privilege.SystemPrivilege;
import com.zxyg.bean.privilege.SystemPrivilegePK;
import com.zxyg.utils.SiteUrl;

/**
 * 使用拦截器进行系统权限的拦截
 * @author Lan
 * 
 */
public class PermissionInterceptor implements Interceptor {
	private static final long serialVersionUID = 1L;

	public void destroy() {}

	public void init() {}

	/**
	 * 处理权限拦截
	 */
	public String intercept(ActionInvocation invocation) throws Exception {
		Employee employee = (Employee) ServletActionContext.getRequest().getSession().getAttribute("employee"); //取得当前登录的用户
		if (validate(employee, invocation)) {
			return invocation.invoke();
		}
		ActionContext context = ActionContext.getContext();
		context.put("message", "你没有权限执行该操作");
		context.put("urladdress", SiteUrl.readUrl("control.center.right"));
		return "message";
	}

	/**
	 * 校验控制在方法上的拦截
	 */
	public boolean validate(Employee employee, ActionInvocation invocation) {
		String methodName= "execute"; //定义默认的访问方法
		Method currentMethod = null;
		methodName = invocation.getProxy().getMethod(); //通过actionProxy,得到当前正在执行的方法名
		try {
			currentMethod = invocation.getProxy().getAction().getClass().getMethod(methodName, new Class[] {}); //利用反射,通过方法名称得到具体的方法
			/*Method[] methods = invocation.getProxy().getAction().getClass().getMethods(); //如果不确定方法的具体参数,也可以迭代比较,速度较慢
			for(Method method : methods ) {
				if(method.getName().equals(methodName)) {
					currentMethod = method;
					break;
				}
			}*/
		} catch (Exception e) {
		}
		if (currentMethod != null && currentMethod.isAnnotationPresent(Permission.class)) {
			Permission permission = currentMethod.getAnnotation(Permission.class); //得到方法上的Permission注解
			SystemPrivilege privilege = new SystemPrivilege(new SystemPrivilegePK(permission.model(), permission.privilegeValue())); //通过Permission注解构造出系统权限
			for (Role role : employee.getRoles()) { //迭代用户所具有的具体权限,如果包含,返回true
				if (role.getPrivileges().contains(privilege)) 
					return true;
			}
			return false;
		}
		return true;
	}

}


这些代码呢,其实已经简单的描述了下,就是将用户存储在数据库中间表中的角色对应的权限取出来,在构造出用户想访问的action中方法上的权限描述,相互比对,如果包含,则可以访问,否则没有权限访问。

最后就是struts.xml文件的配置了,配置好拦截器,就都搞定了,配置文件如下

Java代码
  1. <?xml version="1.0" encoding="UTF-8" ?>   
  2. <!DOCTYPE struts PUBLIC   
  3.     "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"  
  4.     "http://struts.apache.org/dtds/struts-2.0.dtd">   
  5.   
  6. <struts>   
  7.     <package name="privilege" namespace="/control/role" extends="struts-default">   
  8.         <interceptors>   
  9.             <!-- 定义权限拦截器 -->   
  10.             <interceptor name="permission" class="com.zxyg.web.action.privilege.PermissionInterceptor"/>   
  11.             <!-- 定义拦截器栈,所谓拦截器栈,是指由一个或多个拦截器组成 -->   
  12.             <interceptor-stack name="permissionStack">   
  13.                 <!-- struts2提供的拦截器栈,包含了struts2的很多核心拦截器 -->   
  14.                 <interceptor-ref name="defaultStack" />   
  15.                 <!-- 自己定义的放在最后面,struts2定义的放在前面 -->   
  16.                 <interceptor-ref name="permission" />   
  17.             </interceptor-stack>   
  18.         </interceptors>   
  19.            
  20.         <!-- 为此包下的所有action应用拦截器 -->   
  21.         <default-interceptor-ref name="permissionStack" />   
  22.            
  23.         <global-results>   
  24.             <result name="message">/WEB-INF/page/share/message.jsp</result>   
  25.         </global-results>   
  26.            
  27.         <!-- 显示角色列表 -->   
  28.         <action name="list" class="roleListAction" method="execute">   
  29.             <result name="success">/WEB-INF/page/privilege/rolelist.jsp</result>   
  30.         </action>   
  31.            
  32.         <!-- 角色管理 -->   
  33.         <action name="manage_*" class="roleManageAction" method="{1}">   
  34.             <result name="add">/WEB-INF/page/privilege/addrole.jsp</result>   
  35.             <result name="edit">/WEB-INF/page/privilege/editrole.jsp</result>   
  36.         </action>   
  37.     </package>   
  38. </struts>  
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
    "http://struts.apache.org/dtds/struts-2.0.dtd">

<struts>
	<package name="privilege" namespace="/control/role" extends="struts-default">
		<interceptors>
			<!-- 定义权限拦截器 -->
			<interceptor name="permission" class="com.zxyg.web.action.privilege.PermissionInterceptor"/>
			<!-- 定义拦截器栈,所谓拦截器栈,是指由一个或多个拦截器组成 -->
			<interceptor-stack name="permissionStack">
				<!-- struts2提供的拦截器栈,包含了struts2的很多核心拦截器 -->
				<interceptor-ref name="defaultStack" />
				<!-- 自己定义的放在最后面,struts2定义的放在前面 -->
				<interceptor-ref name="permission" />
			</interceptor-stack>
		</interceptors>
		
		<!-- 为此包下的所有action应用拦截器 -->
		<default-interceptor-ref name="permissionStack" />
		
		<global-results>
			<result name="message">/WEB-INF/page/share/message.jsp</result>
		</global-results>
		
		<!-- 显示角色列表 -->
		<action name="list" class="roleListAction" method="execute">
			<result name="success">/WEB-INF/page/privilege/rolelist.jsp</result>
		</action>
		
		<!-- 角色管理 -->
		<action name="manage_*" class="roleManageAction" method="{1}">
			<result name="add">/WEB-INF/page/privilege/addrole.jsp</result>
			<result name="edit">/WEB-INF/page/privilege/editrole.jsp</result>
		</action>
	</package>
</struts>


ok,到这里的时候,所有工作就完成了,当用户登录后,就可以进行访问进行权限拦截了的试验了。

eidolon8
关注
专栏目录
Struts2拦截器实现权限控制demo
05-08
通过以上步骤,我们可以实现一个基本的基于Struts2拦截器权限控制系统。这个demo对于初学者来说,是一个很好的起点,可以帮助他们理解如何在实际项目中结合Struts2拦截器权限控制来增强应用的安全性。在实际...
struts2拦截器实现权限控制
04-19
Struts2中,拦截器是基于AOP(面向切面编程)的概念设计的,它们在Action调用前后执行,可以添加额外的功能,如日志记录、事务管理、权限验证等。对于权限控制拦截器可以在请求到达Action之前检查用户的登录状态...
Struts2学习(九)—拦截器之登录权限
mingxin95的博客
06-30 2796
大部分 Action共享常见的关注点. 一些Action需要输入验证. 另外一些Action可能需要预处理文件上传. 还有一些 Action可能需要防止重复提交 . 许多Action需要在页面显示前生成下拉列表和其他控件.框架使用 “拦截器” 策略使得解决共享这些关注点变得十分容易. 当你请求与某个 “action”匹配资源, 框架将调用 Action对象. 但是, 在Action执行前, 调用可以
关于Struts2实现简单权限拦截功能
Java是怎样炼成的
08-22 202
1.首先定义一个action public class HelloWorldAction { //成员变量[字段] private String message; private String username; public String getUsername() { return username; } public void setUsername(Stri
Struts2中基于Annotation的细粒度权限控制
weixin_30337157的博客
09-11 92
【晋哥哥原创】转载请保留此信息:http://shoru.cnblogs.com/权限控制是保护系统安全运行很重要的一扇门。在web应用里,仅仅隐藏url是不够的。由于web应用是以请求/响应为单位的,我们的权限控制的粒度只有达到这个程度才能让全国人民放心。在java web开发的世界里,MVC框架的使用再平常不过,大都是将请求拦截后,控制器根据配置文件将请求转给某个函数来处理。下面看...
Struts2拦截器总结
gkuiyj的专栏
08-26 111
Struts2 中的拦截器和 servelt 中的过滤器是非常的相似的。如果学过过滤器的话,肯定能够感觉的到,尽管有些微的不同。 拦截器的作用主要就是拦截东西,拦截什么呢?当然是 'action' 了,在执行 'action' 之前 拦截器会起作用,执行一些预先处理的代码,接着区执行 'action' 中相关的方法,之后,流程又会回到拦截器里面,接着去执行后续的一些操作。 先看配置,这些配...
简单理解Struts2拦截器
WanAkiko.
12-30 327
拦截器Struts2的一个重要特性,其定义在struts2-core-x.x.x.jar的struts-default.xml中,Struts2大多数核心功能的实现基于拦截器拦截器可以在执行Action之前抓取用户请求以及在Action执行之后抓取向用户发送的响应,简言之拦截器在Action执行前后均会执行,可对Action的功能进行增强。 例如一般情况下,用户在打开某个页面前被要求登录,否则无法对资源进行访问,这就是拦截器中的权限拦截器在起作用。 Struts2中有许多内置拦截器(共35个,默认开启.
Struts2进阶】Struts2拦截器实现基于Url的权限管理
陌上花开,可缓缓归矣
03-16 4205
Struts2拦截器只能拦截Action,拦截器是AOP的一种实现方式,可以使我们的系统架构更松散(耦合度低),可以插拔,容易互换,代码不改变的情况下很容易满足客户需求。项目的权限管理模块就使用到了Struts2拦截器,原理是这样的,我们来自定义一个拦截器,拦截所有的Action请求,对用户的登录状态和权限信息进行判断。如果用户为登录状态且有足够的权限,则继续访问;若未登录,则为其跳转到登录页面
Struts2拦截器
weixin_42812598的博客
08-10 136
一、Struts2拦截器原理: Struts2拦截器的实现原理相对简单,当请求struts2的action时,Struts 2会查找配置文件,并根据其配置实例化相对的 拦截器对象,然后串成一个列表,最后一个一个地调用列表中的拦截器。 比如:应用要求用户登陆,且必须为指定用户名才可以查看系统中某个视图资源;否则,系统直接转入登陆页面。对于上面的需求,可以在每个Action的执行实际处理逻辑...
Struts2拦截器
皮一下很开心的猴头
08-02 8956
一、拦截器简介 1. Struts2拦截器是在访问某个Action或Action的某个方法,字段之前或之后实施拦截,并且Struts2拦截器是可插拔的,拦截器是AOP的一种实现. 2. 拦截器栈(Interceptor Stack)。Struts2拦截器栈就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,Struts2拦截器链中的拦截器就会按其之前定义的顺序被调用。 二、St...
基于struts2拦截器实现用户操作日志记录
weixin_33778544的博客
05-03 631
2019独角兽企业重金招聘Python工程师标准>>> ...
struts 修改拦截器修改返回值_关于struts2简单的介绍与示例
weixin_30696229的博客
01-14 213
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。缘起于Apache Struts的WebWork框架,旨在提供相对于Struts框架的增强和改进,同时保留与Struts框架类似的结构。2005年12月,WebWork宣布WebWork 2.2以Apache Struts 2...
Struts2拦截器及其用法详细说明
05-28
Struts2中,拦截器(Interceptors)扮演着核心角色,增强了框架的功能和灵活性。这篇文章将深入探讨Struts2拦截器的概念、工作原理以及如何在实际应用中使用它们。 **一、什么是Struts2拦截器** 拦截器是基于AOP...
struts2拦截器
05-16
描述中提到的“基于struts2拦截器测试,实现了页面的跳转,中间过程的拦截”,这表明我们可能在创建一个测试场景,来验证拦截器如何控制请求的流向以及如何在特定的业务逻辑点进行干预。页面跳转通常是拦截器完成...
Struts2学习案例(拦截器)
08-17
Struts2中,拦截器是基于Java的动态AOP(面向切面编程)实现的,它可以在Action调用前后插入额外的逻辑,比如日志记录、权限验证、事务管理等。拦截器通过配置文件或者注解与Action关联,形成一个拦截器栈,每个...
numexpr-2.8.3-cp38-cp38-win_amd64.whl
10-14
numexpr-2.8.3-cp38-cp38-win_amd64.whl
ujson-5.3.0-cp311-cp311-win_amd64.whl
10-14
ujson-5.3.0-cp311-cp311-win_amd64.whl
基于MATLAB车牌识别程序技术实现面板GUI.zip
最新发布
10-14
vos3000
RJFireWall-maste赛资源
10-14
RJFireWall-maste赛资源
Struts2框架拦截器实现用户登录控制
拦截器Struts2框架中的一个重要概念,用于增强Action类的行为,实现如日志记录、权限验证、数据校验等通用功能。本文档将通过一个登录示例来阐述如何在Struts2中使用拦截器。 首先,我们来看登录页面(login.jsp...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值