Struts2注解Action方法安全

最新推荐文章于 2021-02-12 10:30:10 发布
最新推荐文章于 2021-02-12 10:30:10 发布
阅读量131 收藏
点赞数
分类专栏: 服务器应用 文章标签: Spring JSP Security

用过Spring Security的朋友一定不会陌生,有个@Secured注解,可以将其加在Service层的方法上,保护某个方法的安全,确保只有授权的角色可以调用该方法。

 

但是,如果要对Struts2的Action方法进行保护呢?看似加注解是个不合理的需求。但是,有些情况下,例如,一个命名空间下用星号匹配有多个角色,而用精确地址匹配又导致数据太多,数据库不太好维护。在这种情况下,如果一个Action地址,确定以后不会太更换访问角色的话,可以考虑用注解来保护。

 

可以将命名空间下的全部地址匹配为星号。然后用注解保护该命名空间下的个别Action地址。

 

首先是一个注解类。

@Target(METHOD)
@Retention(RUNTIME)
public @interface ActionRoles {

	SysRole[] value();
}

 

注解里面是一个枚举类,代表了系统的所有角色枚举。

然后是Struts2的拦截器,在该拦截器内,通过反射,得到加在Action方法注解上的用户角色数组。其中,还通过SpringSecurityUtils取得当前登录的用户,并拿到登录用户的角色,通过和actionRoles循环比较,得到用户是否有授权。

public class AuthorityInterceptor extends MethodFilterInterceptor {

	private static final long serialVersionUID = -1070565846576510701L;

	@Override
	protected String doIntercept(ActionInvocation actionInvocation) throws Exception {
		User currentUser = SpringSecurityUtils.getCurrentUser();
		if (currentUser != null) {
			try {
				Object action = actionInvocation.getAction();
				ActionProxy actionProxy = actionInvocation.getProxy();
				Method method = action.getClass().getMethod(actionProxy.getMethod());
				ActionRoles actionRoles = method.getAnnotation(ActionRoles.class);
				if (actionRoles != null) {
					boolean authorized = false;
					SysRole[] sysRoles = actionRoles.value();
					for (SysRole sysRole : sysRoles) {
						if (SysRole.equals(currentUser.getRoleName(), sysRole)) {
							authorized = true;
							break;
						}
					}
					if (!authorized) {
						return BaseActionSupport.UNAUTHORIZED;
					}
				}
			} catch (NoSuchMethodException e) {
				e.printStackTrace();
			} catch (SecurityException e) {
				e.printStackTrace();
			}
		}
		return actionInvocation.invoke();
	}
}
 

最后一步,很简单啦,在Struts2的Action方法上面加上注解。

@ActionRoles({SysRole.ROLE_ADMIN, SysRole.ROLE_USER})
public String execute() throws Exception {
	return SUCCESS;
}
 

到此,大功告成。还需要简单的配置一下拦截器,这个就不写了。还要注意,需要有一个全局结果页面,用以展示“未经授权”。我的BaseActionSupport.UNAUTHORIZED是转跳到403.jsp页面的。

iSunshine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Action的处理-分发机制
baidu_41922630的博客
09-26 607
在服务器客户机模式中,当客户机发送一个请求客户端应当如何处理呢?比如客户端发送一个登录的请求,服务器端应当去调用处理登录的方法,即服务器就要根据请求做出对应的响应。 实际上其过程就是客户机上执行某一个方法,将方法返回值,通过网络中传输的流的方式传输给服务器,服务器找到该请求对应的响应方法,并执行,将结果再次通过字节流的方式传输给客户机!以此来进行通信。 但是客户端的请求是多种多样的,我们...
struts2 ——action接受参数的三种方式总结
keep innocent
12-31 621
一、用Action属性接收参数 在自己的Action里面设置属性并设置set方法,在new Action时会自动从参数中将相应的属性设置。Struts2在设置属性时会调用相应的set方法。       注:其实接受参数调用的是set方法,返回参数调用的是get方法,这就是为什么action中的属性get,set方法同时存在的原因 action: //1· 使用get,set方法返回,接
Struts控制器组件-Action
04-18 1358
      Action类是用户请求和业务逻辑之间的桥梁,每个Action充当客户的业务代理,在RequestPorcess类预处理请求时,创建了Action的实例后,就调用自身的processActionPerform()方法,该方法再调用Action类的execute()方法。1.       Action类缓存为了确保线程安全(thread-safe),在一个应用的生命周期中
自定义注解
夏天吹雪的博客
09-18 143
适应于策略模式 /** * 自定义注解 */ @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Component public @interface Action{ Type value(); } /** * 自定义类型 */ @Getter @AllArgsConstructor public enum Type { BALANCE("B","余额"), POINTS("P","积分.
Spring AOP(AspectJ注解式拦截和方法规则式拦截实现)
qq_29869663的博客
09-30 3106
1、编写拦截规则的注解 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface Action { String name(); } 2、编写使用注解的被拦截类 @Service public class DemoAnnotationService { ...
struts2中使用注解配置Action方法详解
08-29
Struts2中使用注解配置Action方法详解 Struts2框架提供了四个与Action相关的注解类型,分别为ParentPackage、Namespace、Result和Action。这四个注解类型可以帮助开发者更方便地配置Action,实现零配置,零配置将从...
Struts 2使用注解配置Action
01-21
Struts 2使用注解配置Action,不配置struts.xml,通过注解直接配置action
Struts2注解使用说明文档
01-07
struts2.1开始,struts2不再推荐使用Codebehind作为零配置插件,而是改为使用Convention插件来支持零配置,和Codebehind相比,Convention插件更彻底,该插件完全抛弃配置信息,不仅不需要是使用struts.xml文件进行...
struts2demo全注解
03-21
struts2将请求在Action中封装为Map并将配置文件放到web-info中还可以自定义配置文件位置就是不将struts.xml放到src下但还是不如spring mvc 的封装来得方便
struts2注解
12-07
struts2 注解Action相关的两个Annotation是@Action 和@Actions2)@Action中可指定一个value属性。类似于指定<action name=””/>属性值
静态代理和动态代理(八)
阿飞的博客
06-03 476
一、代理模式    关于代理模式,以及代理模式的组成元素、类图关系、优点以及应用场景可以参考我的上一篇博文 代理模式简介二、静态代理1.定义    所谓静态代理,即是代码编译时已经写好了代理类。例如我们上一章介绍的例子就是静态代理。2.举个例子    现在又一个共有接口如下public interface ActionA { void action1(); void action2...
java分发_【Java】用注解实现分发器
weixin_31001739的博客
02-12 700
在C/S中,客户端会向服务器发出各种请求,而服务器就要根据请求做出对应的响应。实际上就是客户机上执行某一个方法,将方法返回值,通过字节流的方式传输给服务器,服务器找到该请求对应的响应方法,并执行,将结果再次通过字节流的方式传输给客户机!下面搭建一个简单的Request和Response分发器:类标识的注解,只有带有该标识,才进行之后方法的扫描,否则不进行:1 importjava.lang.ann...
Java自定义注解详解(@interface详解)
zuiaibenpao的博客
03-07 1936
@interface详解@孤傲苍狼
Java笔记--注解
qq_37438740的博客
07-17 211
Java注解(Annotation) 1,什么是注解注解就是代码中特殊的标记,这些标记在编译,类加载和运行时可以被读取,并且执行相应的处理。注解不会影响程序代码的执行 2,基本的注解 @Override @Deprecated @SuppressWarnings @SafeVarargs(Java7新增) @FunctionalInterface(Java8新增...
java的多重注解(重复注解
wal1314520的博客
05-10 1万+
      本来早就写这一篇的,后来一直有别的事拖住了,然后就把它给忘了。前段时间看代码时,无意中看到了当时写的多重注解,觉得还是有必要写点东西的,虽然不是很难,但是对没有接触过的来说,有一份关于它的文章总比没有强。      以前也没用到过多重注解,一次一个需求来了之后,发觉和之前的一个功能有点冲突,重新写一个方法又觉得多余,就考虑到这个多重注解上来了。但是java 7没有多重注解相关的,只有自...
c++ 如何编写接口类(interface)
热门推荐
a499957739的博客
08-15 3万+
接口类简介:         接口是一系列抽象方法的声明,是一些方法特征的集合,这些方法都应该是抽象的,需要由具体的类去实现,然后第三方就可以通过这组抽象方法调用,让具体的类执行具体的方法。 用c++实现接口类时需要注意一下几点: 1、接口类中不应该声明成员变量,静态变量。 2、可以声明静态常量作为接口的返回值状态,需要在对应的cpp中定义并初始化,访问时需要使用"接口类型::静态常量名"...
java的注解
刘道平的专栏
05-28 529
系统定义的注解    一个是@Override:只能用在方法之上的,用来告诉别人这一个方法是改写父类的。     一个是@Deprecated:建议别人不要使用旧的API的时候用的,编译的时候会用产生警告信息,可以设定在程序里的所有的元素上.     一个是@SuppressWarnings:这一个类型可以来暂时把一些警告信息消息关闭.     如果不清楚上面三个类型的具体用法,各位可
从nacos的权限控制看nacos的配置热加载
cjf_wei的博客
12-30 2251
nacos的权限控制及配置热加载nacos的权限控制是什么样的nacos是如何进行权限控制的开启权限控制的开关为什么权限控制开关失效 最近在使用nacos,部署在k8s集群上,使用的是从源码自己打的镜像。在配置nacos的权限认证功能时, 发现无法生效,而且所谓的配置修改立即生效也无法实现,下面就探讨下这是什么原因导致的?同时也看下nacos所说配置修改立即生效是如何实现的? nacos的权限控制是什么样的 nacos通过将用户绑定到某个角色上,然后赋予某个角色对某个资源(命名空间)的读写权限,假如当前登录
struts2注解配置action
最新发布
05-21
Struts2 中,我们可以使用注解来配置 Action,使得代码更加简洁易懂。以下是一个使用注解配置 Action 的示例: ```java @Namespace("/user") @ParentPackage("json-default") public class UserAction extends ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值