使用拦截器控制用户访问权限

最新推荐文章于 2022-08-03 10:24:32 发布
最新推荐文章于 2022-08-03 10:24:32 发布
阅读量2.3k 收藏 11
点赞数 3
分类专栏: Java 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoYLong/article/details/111910490
版权

JavaEE权限管理系统的搭建-------使用拦截器实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示

本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截器首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截器再次拦截,拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404.


 /**
     * 进入管理用户列表页面
     * @return
     */
    @AccessPermissionsInfo("admin:list")
    @RequestMapping(value = "/admin-user-list.action",method = RequestMethod.GET)
    public String adminUserListPage(HttpSession session,Model model){

        //获取session用户是否存在
        AdminUser adminUser = (AdminUser)session.getAttribute("adminUser");
        if(adminUser!=null){
            //根据用户名查询出该用户所有拥有的权限集合,
            //这个权限集合查询出来了的集合是一个String集合,查询出来只有一列数据permission.code
            List<String> permissions =
                    permissionService.findAllPermissionByLoginName(adminUser.getLoginName());
            model.addAttribute("permissions",permissions);
        }
        return "admin-user-list";


    }

拦截器的拦截过程如下图:

在这里插入图片描述

AuthorizationInterceptor类:

package com.supin51.interceptor;

import com.supin51.domain.AdminUser;
import com.supin51.service.PermissionService;
import com.supin51.utils.AccessPermissionsInfo;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

/**
 * @Author:ShaoJiang
 * @description: 权限认证拦截器
 * @Date: created in 下午1:43 2019/1/21
 * @Modified By:
 */
public class AuthorizationInterceptor implements HandlerInterceptor {

    private static final Log logger = LogFactory.getLog(AuthorizationInterceptor.class);


    @Autowired
    private PermissionService permissionService;

    /*
      * return true 才会继续执行下列两个方法(请求继续),否则整个请求结束
      * 该方法主要进行拦截处理,该方法在Controller处理之前调用,
      * */
    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response, Object handler) throws Exception {

        //获取请求的路径进行判断
        String servletUrl = request.getServletPath();
        logger.info("权限认证拦截器:preHandle-------->"+servletUrl);

        //是否授权,默认为未授权
        boolean isAuthorize = false;


        //如果方法上有权限注释
        if(handler.getClass().isAssignableFrom(HandlerMethod.class))
        {
            AccessPermissionsInfo permissionsInfo =
                    ((HandlerMethod)handler).getMethodAnnotation(AccessPermissionsInfo.class);

            if (permissionsInfo==null||permissionsInfo.value()=="")
            {
                isAuthorize = true;
                logger.info("权限认证拦截器:preHandle-------->不需要权限,可以访问");
            }else
            {
                String permission = permissionsInfo.value().toString();
                logger.info("权限认证拦截器:preHandle-------->需要权限:"+permission+"才可以访问");
                //获取session中的用户信息
                AdminUser adminUser = (AdminUser)request.getSession().getAttribute("adminUser");
                //如果用户已登录,放行,否则拦截
                if(adminUser!=null){
                    //根据用户名查询出该用户所有拥有的权限集合
                    List<String> permissions =
                            permissionService.findAllPermissionByLoginName(adminUser.getLoginName());
                    //判断权限集合中的URL字段是否包含请求的路径,如果包含就放行,否则引导至提示(权限不足,请联系管理员)页面

                    for(String s:permissions)
                    {
                        if(permission.contains(s)){
                            isAuthorize = true;
                            logger.info("权限认证拦截器:preHandle-------->当前登录用户:"+adminUser.getLoginName()+"有"+permission+"访问权限,验证通过");
                            break;
                        }
                    }
                }
            }

        }


        if(!isAuthorize){
            logger.info("权限认证拦截器:preHandle-------->权限不足或者无法访问该资源");
            //转发至404页面
            request.getRequestDispatcher("/404").forward(request,response);
        }

        return isAuthorize;

    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        logger.info("权限认证拦截器:postHandle-------->");
    }


    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        logger.info("权限认证拦截器:afterCompletion-------->");
    }
}

自定义注解类


package com.supin51.utils;

import java.lang.annotation.*;

/**
 * @Author:ShaoJiang
 * @description:自定义权限注解,用于注解在controller方法上,在拦截器中拦截用户是否有权限访问
 * @Date: created in 下午8:44 2019/1/22
 * @Modified By:
 */
@Inherited
@Target(ElementType.METHOD)//用于方法上的注解
@Retention(RetentionPolicy.RUNTIME)
public @interface AccessPermissionsInfo {

    /**
     * 权限名称值
     * @return 权限名称
     */
    String value() default "";


}

持久层PermissionMapper.xml

<!--这个方法获取的权限返回列只有一个code字段,主要用在了拦截器和页面上的按钮权限控制显示-->
    <!--对应PermissionDao接口中的findAllPermissionByLoginName方法-->
    <select id="findAllPermissionByLoginName" parameterType="string" resultType="string" >
        SELECT tp.code
        FROM t_admin ta
        LEFT JOIN t_admin_role tar
             ON tar.adminId = ta.id
        LEFT JOIN t_role tr
             ON tar.roleId = tr.id
        LEFT JOIN t_role_permission trp
             ON trp.roleId = tr.id
        LEFT JOIN t_permission tp
             ON tp.id = trp.permissionId
        WHERE ta.loginName = #{loginName}
             AND tp.url IS NOT NULL
    </select>
郭优秀的笔记
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用拦截器实现权限控制
a3060858469的博客
10-18 1991
添加struts配置文件和jar包:点击工程名—-MyEclipse—Add Struts Capp…——-选择版本 —–next——–再回去配置以下Struts.xml文件在struts.xml中写以下的配置 下面是4个开发模式常用配置的简介— <!-- 开启使用开发模式,详细错误提示 --> <!-- <constant name="struts.devMode" value="
SpringBoot使用拦截器实现Restful URL权限拦截
a272265225的博客
11-14 2277
前言 RBAC 是基于角色的访问控制(Role-Based Access Control )。RBAC是在任何一个系统里无法绕过的问题。没有权限控制管理的系统是非常不安全的。 在Spring框架体系中。有非常多的RBAC框架,如Spring Shiro、Spring Security。 而本文介绍的是使用SpringMVC自带的拦截器来实现RBAC权限控制。功能虽然不够全面,但胜在够轻量,能够实现最基本的权限拦截。 实现的关键点: 1.拦截器使用 2.正则表达式的使用 3.建立正确的RBAC权限模型 权
java 拦截器 权限控制_拦截器使用案例:权限控制
weixin_36332616的博客
03-05 1232
使用拦截器控制权限在实际应用中,我们可以使用拦截器控制权限,比如,这里做一个这样的小功能,判断用户名为monkey1024用户是否已登录,如果已登录,则可以访问系统的欢迎界面,否则返回禁止登录的界面。先来定一个controller,此时需要确保该方法必须在登录之后才能访问,我们后面通过拦截器控制:@Controllerpublic class LoginController {@RequestM...
struts2如何使用拦截器进行用户权限控制
Java知音
05-08 8604
大多数网站会设置用户权限,如过滤非法用户用户不登录时不能进行访问,或者设置访问的权限,如部分内容仅对VIP开放等等,这些权限的控制都可以用struts2中的拦截器来实现。 下面通过一个简单的Demo来模拟这种用户权限控制的实现流程,设定三种不同身份的用户,commen为普通用户,VIP为会员用户,还有一种admin为管理员。 先看一下Demo的整体结构: 首先搭建struts2框架
拦截器实现权限控制
weixin_55666891的博客
08-03 1066
SpringBoot使用拦截器实现操作权限检查
用户权限控制-拦截器Interceptor
qq_40996012的博客
10-18 985
用户权限控制-拦截器Interceptor 1.拦截器的工作原理 2.拦截器的定义 @Component //将对象交给Spring容器管理 public class UserInterceptor implements HandlerInterceptor{ /** boolean:是否放行 true false */ @Override public boolean preHan.........
SpringMVC拦截器-用户登录权限控制
LCreator的博客
08-26 873
06-SpringMVC拦截器-用户登录权限控制分析(理解) 需求概述:用户没有登录的情况下,不能对后台菜单进行访问操作,点击菜单跳转到登录页面,只有用户登录成功后才能进行后台功能的操作 07-SpringMVC拦截器-用户登录权限控制代码实现1(应用) 判断用户是否登录 本质:判断session中有没有user,如果没有登陆则先去登陆,如果已经登陆则直接放行访问目标资源 先编写拦截器如下: public class PrivilegeInterceptor implements HandlerInter
Spring security 实现前后端分离登录拦截器用户权限控制
热门推荐
zzq的博客
11-22 1万+
目录 前言 一、准备工作 1.1、设计数据库(我的工程目录中的sql文件夹下有sql文件直接导入即可) 二、代码实现 2.1、数据操作 2.2、自定义登录逻辑 2.2.1、创建自定义UserDetailsService 2.2.2、自定义的密码加密类 2.3、自定义登录验证结果、登出结果、无权访问处理器 2.3.1、自定义登录成功处理器 2.3.2、自定义登录失败处理器 2...
使用拦截器和JWT实现Java后端接口的权限访问控制
woshihedayu的博客
01-30 4596
最近发现,后端接口的权限访问控制通过使用springmvc里面的拦截器,就能够实现,方法比较简单,这里做一些总结。 1、在登录接口查询数据库中的用户信息和权限信息,得到当前用户相关的权限,然后把权限信息添加到JWT的字符串里面,经过加密以后生成token,将token作为响应数据,传递给前端。 2、定义一个拦截器,从请求头当中取出token,对token进行解密,得到里面的权限信息,然后获取当前访问接口的名称,与token中的权限信息进行比对,如果用户拥有当前接口的权限,就允许访问,否则就抛异常,代码如下
struts2如何使用拦截器进行用户权限控制实例
08-30
在本例中,我们使用拦截器来实现权限控制,判断用户是否有访问权限,然后根据用户的身份将其重定向到相应的页面上。 Struts2提供了拦截器机制来实现用户权限控制,通过配置struts.xml文件和编写拦截器,我们可以...
struts2 用拦截器 实现用户权限登录
11-14
本教程将深入探讨如何使用Struts2拦截器来实现用户权限登录功能。 首先,了解拦截器的概念。拦截器是AOP(面向切面编程)的一种实现,它可以在动作执行前后插入自定义代码。在Struts2中,拦截器按照预定义的顺序...
使用拦截器进行权限控制.rar
11-30
本教程以“使用拦截器进行权限控制”为题,旨在帮助新手掌握如何在Struts2框架下实现权限控制。 首先,让我们了解什么是拦截器。在Struts2中,拦截器是基于Java的动态代理实现的,它通过调用一系列拦截器来形成一...
Struts2拦截器实现权限控制demo
05-08
权限控制是web应用中不可或缺的一部分,它可以防止未经授权的用户访问特定资源。在Struts2中,我们可以通过拦截器来检查用户是否具有访问某个Action或方法的权限。以下是一个简单的步骤: 1. 创建权限拦截器:首先...
企业级开发-SpringMVC使用拦截器实现用户登录权限验证实验报告.docx
08-21
本实验报告将探讨如何利用 SpringMVC 的拦截器(Interceptor)来实现用户登录权限验证,确保只有已登录的用户才能访问特定的受保护资源。 首先,我们来看一下实验的基本步骤: 1. 创建 `User` 类:这是表示用户...
struts2拦截器实现权限控制
04-19
这篇博客文章“struts2拦截器实现权限控制”深入探讨了如何利用Struts2的拦截机制来执行用户访问权限的验证。 在Struts2中,拦截器是基于AOP(面向切面编程)的概念设计的,它们在Action调用前后执行,可以添加额外...
详解SpringMVC拦截器(资源和权限管理)
09-01
通过这种方式,我们可以有效地控制用户对资源的访问,实现细粒度的权限管理。 总结起来,SpringMVC拦截器是系统资源和权限管理的关键组成部分,通过DispatcherServlet的配置和拦截器的实现,我们可以灵活地控制...
mvc的拦截器控制权限的例子
03-25
在这个例子中,我们将探讨如何使用拦截器实现权限控制。 首先,我们需要创建一个自定义的拦截器类,这个类需要实现Spring MVC的`HandlerInterceptor`接口。`HandlerInterceptor`接口包含三个方法:`preHandle`、`...
使用spring拦截器实现日志管理实例
08-31
### 使用Spring拦截器实现日志管理实例 在Web应用程序中,日志管理是至关重要的,它可以帮助...同时,由于拦截器是在控制器之前执行的,因此它还能在请求处理过程中进行其他预处理操作,如权限验证、性能监控等。
springboot用户权限拦截器
最新发布
10-17
好的,针对您的问题,Spring Boot提供了一种基于拦截器用户权限控制方式。具体实现步骤如下: 1. 创建一个拦截器类,实现HandlerInterceptor接口,并重写preHandle方法,在该方法中进行用户权限校验。 2. 在Spring Boot的配置类中,通过addInterceptors方法将拦截器注册到Spring Boot中。 3. 在需要进行用户权限控制的Controller方法上添加@PreAuthorize注解,指定需要的权限。 下面是一个简单的示例代码: ```java public class UserInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取用户信息 User user = (User) request.getSession().getAttribute("user"); if (user == null) { // 用户未登录,跳转到登录页面 response.sendRedirect("/login"); return false; } // 校验用户权限 if (!user.hasPermission(request.getRequestURI())) { // 用户没有访问该资源的权限,返回403错误 response.setStatus(HttpStatus.FORBIDDEN.value()); return false; } return true; } } @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private UserInterceptor userInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(userInterceptor).addPathPatterns("/**"); } } @RestController @RequestMapping("/api") public class UserController { @GetMapping("/users") @PreAuthorize("hasRole('ADMIN')") public List<User> getUsers() { // 获取用户列表 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

郭优秀的笔记

你的支持就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值