基于拦截器和注解实现页面的访问权限控制

最新推荐文章于 2021-04-29 09:31:18 发布
最新推荐文章于 2021-04-29 09:31:18 发布
阅读量304 收藏
点赞数 1
分类专栏: 技术笔记小点滴 文章标签: 权限控制 拦截器 注解 DefaultAnnotationHandlerMapping
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_11714/article/details/82443976
版权

 

基于拦截器和注解实现页面的访问权限控制

 

          web 系统中,经常需要对每个页面的访问进行权限控制。譬如,要进入 xx 公司的开放 平台, isv 需要注册成为开发者,开发者的状态有审核中、有效、冻结、拒绝、删除等状态,然后根据不同的状态,开发者可以访问不同的页面。只有有效或冻结状态可以访问只读功能的页面(即该页面的访问不会造成后台数据的变化),只有有效状态可以访问具有写功能的页面。

      如何实现该访问控制的需求呢?最直观的做法就是:在每个页面对应的 controller 里,都去调用查询开发者的服务,然后判断开发者的状态。

 

@Controller
@RequestMapping("/appDetail.htm")
public class AppDetailController {
    @RequestMapping(method = RequestMethod.GET)
    public String doGet(ModelMap modelMap, HttpServletRequest httpServletRequest) {
        //1. 开发者有效性判断
        Developer developer = developerManageServiceClient
            .getByCardNo(cardNo);
        if (null == developer){
            return ERROR_VM;
        }
        if (DeveloperStatus.VALID != developer.getStatus()  &&  DeveloperStatus.FREEZE != developer.getStatus()) {
            return ERROR_VM;
        }
        //2. 业务操作,此处省略
    }
}

@Controller
@RequestMapping("/appBaseInfoEdit.htm")
public class AppBaseInfoEditController {
    @RequestMapping(method = RequestMethod.POST)
    public String modify(ModelMap modelMap, HttpServletRequest httpServletRequest,  AppBaseInfoForm appBaseInfoForm) {
        //1. 开发者有效性判断
        Developer developer = developerManageServiceClient
            .getByCardNo(cardNo);
        if (null == developer){
            return ERROR_VM;
        }
        if (DeveloperStatus.VALID !=  developer.getStatus()) {
            return ERROR_VM;
        }
        //2. 业务操作,此处省略
    }
}

 

  appDetail.htm 对应的页面需要开发者的状态为有效或者冻结, appBaseInfoEdit.htm 对应的页面需要开发者的状态为有效。

采用这种方式有以下缺点:

  1. 多个 controller 里实现同样的代码,造成代码冗余;
  2. 对于每个 controller 的主体功能来说,对开发者状态的检查是一个横切关注点,将这种关注点掺和在主功能里,会使得主体业务逻辑不清晰。

      所以,可以基于AOP 将这种横切关注点以拦截器的方式实现,但存在的一个问题是,拦截器如何知道某个页面的访问对开发者状态的要求呢?可以基于注解实现。譬如:

 

@Controller
@RequestMapping("/appDetail.htm")
@Permission(permissionTypes = { PermissionEnum.DEVELOPER_VALID })
public class AppDetailController {
    @RequestMapping(method = RequestMethod.GET)
    public String doGet(ModelMap modelMap, HttpServletRequest httpServletRequest) {
        //1. 业务操作,此处省略
    }
}

@Controller
@RequestMapping("/appBaseInfoEdit.htm")
@Permission(permissionTypes = { PermissionEnum.DEVELOPER_VALID, PermissionEnum.DEVELOPER_FREEZE })
public class AppBaseInfoEditController {
    @RequestMapping(method = RequestMethod.POST)
    public String modify(ModelMap modelMap, HttpServletRequest httpServletRequest, AppBaseInfoForm appBaseInfoForm) {
        //1. 业务操作,此处省略
    }
}

 

  @Permission(permissionTypes = { PermissionEnum.DEVELOPER_VALID }) ,表示开发者的状态必须是有效; @Permission(permissionTypes = { PermissionEnum.DEVELOPER_VALID, PermissionEnum.DEVELOPER_FREEZE }) ,表示开发者的状态必须是有效或者冻结。这样,每个 controller 的主体业务逻辑就清晰了。

    下面分析一下注解和拦截器是如何实现的:

    注解实现:

 

@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface Permission {
    /** 检查项枚举 */
    PermissionEnum[] permissionTypes() default {};
    /** 检查项关系 */
    RelationEnum relation() default RelationEnum.OR;
}

         RelationEnum 该枚举表示各检查项( permissionTypes )之间的关系, OR 表示至少需要满足其中一个检查项, AND 表示需要满足所有检查项

 

/**
 * 权限检查拦截器
 * 
 * @author xianwu.zhang
 * @version $Id: PermissionCheckInterceptor.java, v 0.1 2012-10-25 下午07:48:11 xianwu.zhang Exp $
 */
public class PermissionCheckInterceptor extends HandlerInterceptorAdapter {
    /** 权限检查服务 */
    private PermissionCheckProcessor permissionCheckProcessor;
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Class<?> clazz = handler.getClass();
        if (clazz.isAnnotationPresent(Permission.class)) {
            Permission permission = (Permission) clazz.getAnnotation(Permission.class);
            return permissionCheckProcessor.process(permission, request,response);
        }
        return true;
    }
}

 

 * 权限检查器
*  @author xianwu.zhang
 * @version $Id: PermissionCheckProcessor.java, v 0.1 2012-11-5 下午05:13:17 xianwu.zhang Exp $
 */
public class PermissionCheckProcessor {
    public boolean process(Permission permission, HttpServletRequest request, HttpServletResponse response) {
        PermissionEnum[] permissionTypes = permission.permissionTypes();
        try {
            String cardNo = OperationContextHolder.getPrincipal().getUserId();
            HttpSession session = request.getSession(false);
	     If(null != session){
               //查询开发者
            	  Developer developer = developerManageServiceClient .getByCardNo(cardNo);
               if (null != developer &&  checkPermission(permissionTypes, permission.relation(),developer .getStatus())) {
                  return true;
               }
}
            sendRedirect(response, ISV_APPLY_URL);
            return false;
        } catch (Exception e) {
            sendRedirect(response, ISV_APPLY_URL);
            return false;
        }
}
//省略
}
   
    private void sendRedirect(HttpServletResponse response, String redirectURI) {
        URIBroker uriBroker = uriBrokerManager.getUriBroker(redirectURI);
        String url = uriBroker.render();
        try {
            response.sendRedirect(url);
        } catch (IOException e) {
            logger.error("转向页面:" + url + "跳转出错:", e);
        }
    }
}

 

     Xml 配置如下:

 

<bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">
	<property name="interceptors">
		<list>
			<ref bean="permissionCheckInterceptor" />
		</list>
	</property>
</bean>

<bean id="permissionCheckInterceptor"
		class="com.xxx.xxx.web.home.interceptor.PermissionCheckInterceptor" />
<bean id="permissionCheckProcessor"
		class="com.xxx.xxx.web.home.interceptor.PermissionCheckProcessor" />

 

        还有一个小细节可以优化一下,现在是每访问一个页面,都会经过这个拦截器,拦截器里面都有一次 webservice 调用以查询开发者信息(开发者 cardNo 和开发者状态)。但真实场景中, 99.99% 的情况是,用户在同一个 session 下完成所有的业务,即访问的所有页面都具有同一个 sessison ,因此可以在开发者第一次访问页面时,通过 webservice 调用查询到开发者信息,如果权限校验通过,则将开发者 cardNo 和开发者状态放在 session 里,那么在 session 未失效前, 开发者再次访问其他页面时,可以在拦截器里先判断目前登陆的用户卡号是否与 session 里存储的 cardNo 相同,如果相同,则就不需要再调用 webserivce 了,可以直接取 session 里存储的开发者状态来进行权限校验,这样就减少了大量的不必要的 webservice 调用。

 

/**
    * 权限检查器
   *  @author xianwu.zhang
    * @version $Id: PermissionCheckProcessor.java, v 0.1 2012-11-5 下午05:13:17 xianwu.zhang Exp $
    */
public class PermissionCheckProcessor {

    public boolean process(Permission permission, HttpServletRequest request,
                           HttpServletResponse response) {
        PermissionEnum[] permissionTypes = permission.permissionTypes();
        try {
            String cardNo = OperationContextHolder.getPrincipal().getUserId();
            HttpSession session = request.getSession(false);
            if (null != session) {
                String developerCardNo = (String) session.getAttribute("developerCardNo");
                if (StringUtil.isNotBlank(cardNo) && StringUtil.equals(cardNo, developerCardNo)) {
                    String status = (String) session.getAttribute("status");
                    if (checkPermission(permissionTypes, permission.relation(), status)) {
                        return true;
                    }
                } else {
                    Developer developer = developerManageServiceClient .getByCardNo(cardNo);
                    if (null != developer
                        && checkPermission(permissionTypes, permission.relation(), developer
                            .getStatus())) {
                        session.setAttribute("status", developer.getStatus());
                        session.setAttribute("developerCardNo ", cardNo);
                        return true;
                    }
                }
            }
            sendRedirect(response, ISV_APPLY_URL);
            return false;
        } catch (Exception e) {
            sendRedirect(response, ISV_APPLY_URL);
            return false;
        }
    }

 

本文为原创,转载请注明出处

 

iteye_11714
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用拦截器进行访问控制
weixin_44617722的博客
05-10 199
  需要对某个功能模块进行暂时的屏蔽。但是使用自定义注解和@AspectJ进行控制比较麻烦。使用拦截器对整个控制器中的所有方法进行拦截屏蔽。 1、创建WebInterceptor类,用来处理具体的逻辑 public class WebInterceptor implements WebRequestInterceptor { private static final Logger LOGGER = LoggerFactory.getLogger(WebInterceptor.class);
非法请求访问控制拦截器
weixin_56203018的博客
07-04 130
重点:bean 和 @bean
【淘淘】拦截器原理、实现
Davie's Happy Life
11-28 2806
走过了双11,我们又迎来了黑色星期五,刚过了黑五,双12又将到来。不管剁手的没有剁手的,估计这次都要剁手了!虽然作为程序猿的我,没有钱但是我们长眼睛了,我们关注到的是我们天猫、淘宝、支付宝之间的登录系统的关联,即只要我们在一个系统上登陆过了,在同门户的其他系统上就不用再次登陆了,这个涉及到的是我们的接下来下次要聊到的——SSO(单点登录);而这次我们要聊的,是我们的拦截器,因为只要我们没有登录,随便输入一个合法的地址涉及到订单或者隐私信息的内容时,就会被干到登录页面上去,这就是我们的拦截器
拦截器实现用户权限验证
汉南最後の読書人
03-25 7955
代码: loginForm.jsp 登录页面 登录页面 ${requestScope.message } 登录名: 密码:
拦截器的基本原理
java_laoming的博客
07-26 2152
拦截器---登录状态检查Filter不是struts2的解决方案          Struts2默认启用了大量通用功能的拦截器,只要配置Action的package继承了struts-default包,这些拦截器就会起到作用   拦截器的基本原理          责任链模式: 责任链模式(Chain of Responsibility Pattern)为请求创建了一个接收者对象的链。这...
基于Shiro 拦截URL,实现权限控制
08-02
在这个主题中,“基于Shiro拦截URL,实现权限控制”意味着我们将探讨如何利用Shiro来管理应用程序中的访问权限,确保用户只能访问他们被授权的资源。 首先,我们需要理解Shiro的三个核心概念: 1. 身份验证...
详解Spring MVC拦截器实现session控制
08-31
综合以上,本文通过具体的代码示例和技术细节深入讲解了如何使用Spring MVC拦截器实现session控制,包括如何监听session的创建和销毁,如何实现用户的重复登录控制以及如何在拦截器中处理未登录用户的访问权限问题,...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
权限通常基于角色,例如“管理员”可以访问所有页面,而“普通用户”只能访问一部分。 3. **过滤器链(Filter Chain)**:Spring Security通过一系列过滤器来拦截HTTP请求,执行认证和授权操作。这些过滤器如`...
SpringMVC+Mybatis+Mysql+权限+拦截器的整合实例 源码程序
02-01
在本项目中,我们主要探讨的是一个基于SpringMVC、Mybatis、Mysql数据库的完整应用实例,同时涉及到了权限管理和拦截器实现。这个实例提供了详细的源代码,包括SQL脚本,以及一些实用的工具类,使得开发者可以快速...
基于ssh拦截器框架Struts2拦截器的登录验证实现
05-29
Struts2 框架是 SSH2 架构的重要组成部分,提供了一种强大的MVC(模型-视图-控制器)设计模式实现。...这种基于拦截器的登录验证方法是 SSH2 框架中常见且实用的实践,对于开发大型企业级应用非常有价值。
自定义拦截器判断用户是否有权限访问
weixin_30762087的博客
07-30 300
1、关于权限系统,对于用户是否有权限对系统进行访问,设置自定义拦截器,来拦截用户的请求 1 package org.slsale.interceptor; 2 3 import javax.annotation.Resource; 4 import javax.servlet.http.HttpServletRequest; 5 import javax.servlet....
拦截器的简单案例(验证用户是否登录)
qq_42121746的博客
10-10 1054
拦截器的简单案例(验证用户是否登录) 1 实现思路 1、有一个登录页面,需要写一个 controller 访问页面 2、登录页面有一提交表单的动作。需要在 controller 中处理。 2.1、判断用户名密码是否正确 2.2、如果正确 向 session 中写入用户信息 2.3、返回登录成功。 3、拦截用户请求,判断用户是否登录 3.1、如果用户已经登录。放行 3.2、如果用户未登录,跳转到登录...
Spring MVC拦截器实现用户登录权限验证案例
qq_44336097的博客
04-29 1460
本节将通过拦截器来完成一个用户登录权限验证的 Web 应用 springMVCDemo07,具体要求如下:只有成功登录的用户才能访问系统的主页面main.jsp,如果没有成功登录而直接访问主页面,则拦截器将请求拦截,并转发到登录页面 login.jsp。当成功登录的用户在系统主页面中单击“退出”链接时回到登录页面。 具体实现步骤如下: 1)创建应用 创建 Web 应用 springMVCDemo07,并将 Spring MVC 相关的 JAR 包复制到 lib 目录中。 2)创建 POJO 类 在 spri
Spring之AOP
梁同学Coding博客
04-16 200
写在前面:之前已经写过一篇Spring之IOC(DI)附面试题准备幸运的金荷,公众号:我这一路Spring之IOC(DI)附面试题准备主要讲的是Spring另一块核心IOC一些相关知识。今...
Spring AOP 实现功能权限校验功能
热门推荐
後雪寒的专栏
06-23 2万+
实现功能权限校验的功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。 首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是service层方法,而拦截器是拦截控制器层的请求,它本身也是一个处理器,可以直接中断请求的传递并返回视图,而AOP则不可以。 1.使用拦截器实现未登录时跳转到登录界面的功能 1.1 拦截...
添加权限注解
FairyHe的博客
12-15 2786
权限添加 首先用到shiro 框架 博主刚刚学习 有看到能指点一下我的记得给我留言奥 自己的理解 重点:添加权限注解的意思是 添加了这个权限的管理 如果没有这个注解的话 就权限都有的 只是管理这个接口的权限 (品牌管理的 添加和 修改权限) 一、菜单管理- 上面的添加菜单 名称:品牌添加 菜单编号:goodsBrand_add 父级编号:goods-brand 选择对应的父级菜单 请求地址:/goodsBrand/add 是否是菜单:不是 (这个不是左侧的菜单 是 里面的功能 系统分类: 基础功能 排序
权限】【检查权限拦截器
Armo的博客
01-11 400
环境准备 员工已经登入. 将员工对应的权限表达式集合存入session,(EXPS_IN_SESSION) 检查权限拦截器 放行条件: 该Action不需要权限就可以访问 (访问的方法,没有被注解) 该员工是超级管理员 该员工拥有此权限 (session中的权限表达式列表,有访问的方法对应的表达式) public class PermissionCheckIntercep
使用拦截器控制用户访问权限
枫叶
12-29 2332
JavaEE权限管理系统的搭建-------使用拦截器实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示 本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截器首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截器再次拦截,拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404. /** * 进入管理用户列表页面
springboot用户权限拦截器
最新发布
10-17
好的,针对您的问题,Spring Boot提供了一种基于拦截器的用户权限控制方式。具体实现步骤如下: 1. 创建一个拦截器类,实现HandlerInterceptor接口,并重写preHandle方法,在该方法中进行用户权限校验。 2. 在Spring Boot的配置类中,通过addInterceptors方法将拦截器注册到Spring Boot中。 3. 在需要进行用户权限控制的Controller方法上添加@PreAuthorize注解,指定需要的权限。 下面是一个简单的示例代码: ```java public class UserInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取用户信息 User user = (User) request.getSession().getAttribute("user"); if (user == null) { // 用户未登录,跳转到登录页面 response.sendRedirect("/login"); return false; } // 校验用户权限 if (!user.hasPermission(request.getRequestURI())) { // 用户没有访问该资源的权限,返回403错误 response.setStatus(HttpStatus.FORBIDDEN.value()); return false; } return true; } } @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private UserInterceptor userInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(userInterceptor).addPathPatterns("/**"); } } @RestController @RequestMapping("/api") public class UserController { @GetMapping("/users") @PreAuthorize("hasRole('ADMIN')") public List<User> getUsers() { // 获取用户列表 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值