通过struts2拦截器实现权限管理

1. packagecom.work.qxgl.login;
3. importjava.util.List;
4. importjava.util.Map;
6. importjavax.servlet.http.HttpServletRequest;
8. importorg.apache.commons.logging.Log;
9. importorg.apache.commons.logging.LogFactory;
10. importorg.apache.struts2.StrutsConstants;
11. importorg.apache.struts2.config.DefaultSettings;
13. importcom.opensymphony.xwork2.Action;
14. importcom.opensymphony.xwork2.ActionInvocation;
15. importcom.opensymphony.xwork2.interceptor.AbstractInterceptor;
16. importcom.work.core.QxglConstants;
17. importcom.work.core.spring.MyBeanUtil;
18. importcom.work.qxgl.model.QxglRole;
19. importcom.work.qxgl.usermodel.UserModelServiceDao;
21. publicclassAuthorizationInterceptorextendsAbstractInterceptor{
22. /**
23. *
24. */
25. privatestaticfinallongserialVersionUID=4949812834762901805L;
26. privatestaticLoglog=LogFactory.getLog(AuthorizationInterceptor.class);
29. @Override
30. publicStringintercept(ActionInvocationinvocation)throwsException{
31. //取得请求的Action名
32. Stringname=invocation.getInvocationContext().getName();//action
33. //的名称，在xml中配置的
34. Stringnamespace=invocation.getProxy().getNamespace();//获取到namespace，还能够获取到要执行的方法，class等
36. if((namespace!=null)&&(namespace.trim().length()>0)){
37. if("/".equals(namespace.trim())){
38. //说明是根路径，不需要再增加反斜杠了。
39. }else{
40. namespace+="/";
41. }
42. }
43. StringURL=namespace+invocation.getProxy().getActionName();
45. URL+=".action";
47. log.debug("actionname="+name+"||fullActionName="+URL);
49. if(name.equals("login")||name.equals("loginAccess")){
50. //如果用户想登录，则使之通过
51. returninvocation.invoke();
52. }
53. Mapsession=invocation.getInvocationContext().getSession();
54. //TODO在这里判断用户是否已经登陆,更改此方法，和OnLineUserManager联系起来，
55. //OnLineUserManager是线程安全的，效率上可能会比较低！所以暂时还不更改！。
56. Stringsuccess=(String)session.get(QxglConstants.AUTH_SUCCESS);
58. log.debug("success="+success);
60. //如果没有登陆，那么就退出系统
61. if(success==null||!"true".equals(success)){
62. log.debug("pleaselogin");
63. returnAction.LOGIN;
64. }
66. Stringuserid=(String)session.get("userid");
67. if(userid==null||"".equals(userid)){
68. log.error("用户id不能为空!");
69. returnAction.LOGIN;
70. }
72. //如果是超级管理员，那么直接返回
73. if("admin1111222233334444555566admin".equals(userid)){
74. returninvocation.invoke();
75. }
77. UserModelServiceDaouserModelServiceDao=(UserModelServiceDao)MyBeanUtil
78. .getBean("userModelServiceDao");
79. //获取当前用户所拥有的角色
80. List<QxglRole>userRoles=userModelServiceDao.getRoles(userid);
82. if(userRoles==null||userRoles.size()<1){
83. //没有任何角色
84. log.warn("此用户"+userid+"没有任何角色，没有权限执行任何功能");
85. return"noPermit";
86. }
88. List<QxglRole>urlRoles=userModelServiceDao.getRolesByUrl(URL);
90. //如果此URL没有赋给任何角色，说明是合法用户就可以访问
91. if(urlRoles==null||urlRoles.size()<1){
92. log.debug("此资源未赋给任何角色，合法用户就可以访问");
93. returninvocation.invoke();
94. }
96. //根据角色来判断用户是否有权限来使用当前的URL（action）
97. booleanflag=false;//如果有权限访问设置为true；
98. intuserLen=userRoles.size();
99. inturlLen=urlRoles.size();
100. QxglRoletempUserRole=null;
101. QxglRoletempUrlRole=null;
103. START:
104. for(inti=0;i<userLen;i++){
105. //首先初始化
106. tempUserRole=null;
107. tempUrlRole=null;
108. tempUserRole=userRoles.get(i);
109. for(intj=0;j<urlLen;j++){
110. tempUrlRole=urlRoles.get(j);
111. if(tempUserRole.getId().equals(tempUrlRole.getId())){
112. flag=true;
113. breakSTART;
114. }
115. }
116. }
117. if(flag){
118. log.debug("successauth");
119. returninvocation.invoke();
120. }else{
121. //用户如果在主页面中输入其他的任何链接，系统将自动执行logout动作，因为在/sysmenu/top.jsp中配置了onunload事件。
122. log.warn("此用户"+userid+"没有权限执行此功能"+URL);
123. return"noPermit";
124. }
126. }
131. }

在struts2的配置文件中配置

1. <packagename="qxglmain"extends="struts-default"namespace="/">
3. <!--自定义拦截器-->
4. <interceptors>
5. <interceptorname="auth"
6. class="com.work.qxgl.login.AuthorizationInterceptor"/>
7. <interceptorname="ourLogger"
8. class="com.work.core.interceptor.LoggingInterceptor"/>
9. <interceptorname="ourTimer"
10. class="com.work.core.interceptor.TimerInterceptor"/>
11. <!--自定义拦截器堆栈-->
12. <interceptor-stackname="qxglStack">
13. <interceptor-refname="auth"/><!--权限控制 -->
14. <!--用来查看每个action执行了多长时间，看执行效率,只所以重新编写，因为xwork的源代码的日志级别低为INFO，我们配置的日志级别为ERROR。所以看不到了-->
15. <interceptor-refname="ourTimer"/>
16. <interceptor-refname="ourLogger"/>
17. <!--
18. <interceptor-refname="logger"/>-->
19. <!--引用默认的拦截器堆栈-->
20. <interceptor-refname="defaultStack"/>
21. </interceptor-stack>
22. </interceptors>
24. <!--重定义默认拦截器堆栈-->
25. <default-interceptor-refname="qxglStack"/>
27. <global-results>
28. <resultname="login"type="redirectAction">login</result>
29. <resultname="error">/qxgl/error.jsp</result>
30. <resultname="noPermit">/qxgl/noPermit.jsp</result>
31. <resultname="input"type="redirectAction">login</result>
32. </global-results>
33. <!--exception的配置必须在global-results后面-->
34. <global-exception-mappings>
35. <exception-mapping
36. exception="java.lang.NullPointerException"result="error"/>
37. <exception-mappingexception="java.lang.Exception"
38. result="error"/>
39. <exception-mapping
40. exception="com.work.core.exception.StorageException"result="error"/>
41. </global-exception-mappings>
43. <actionname="qxglmain"
44. class="com.work.qxgl.main.QxglMainAction">
45. <result>/qxgl/menutree/qxglmain.jsp</result>
46. </action>
47. <actionname="sysmain"
48. class="com.work.qxgl.main.QxglMainAction"method="sysmain">
49. <result>/sysmenu/sysMain.jsp</result>
50. </action>
51. <actionname="login"class="com.work.qxgl.login.LoginAction"
52. method="login">
53. <result>/login.jsp</result>
54. </action>
55. <actionname="logout"class="com.work.qxgl.login.LogoutAction">
56. <result>/login.jsp</result>
57. </action>
59. <actionname="loginAccess"class="com.work.qxgl.login.LoginAction">
60. <resulttype="redirectAction">sysmain</result>
61. <resultname="input">/login.jsp</result>
62. </action>
63. <actionname="listOnLineUsers"class="com.work.qxgl.login.OnLineUserAction">
64. <result>/qxgl/onlineuser/onlineuser.jsp</result>
65. </action>
66. <actionname="kickUser"class="com.work.qxgl.login.OnLineUserAction"
67. method="kickUser">
68. <resulttype="chain">listOnLineUsers</result>
69. </action>
70. <actionname="listMenu"class="com.work.qxgl.main.QxglMainAction"
71. method="listMenu">
72. <result>/sysmenu/menu.jsp</result>
73. </action>
74. </package>

缺点：

struts2的拦截器只能够控制*.action，其他的jsp文件等会被忽略，所以通过struts2的拦截器实现权限控制有一定的缺陷。

我们可以通过编写一个filter来控制其他请求的权限

1. packagecom.work.core.filter;
3. /**
4. *@authorwangmingjie
5. *@date2008-8-25下午10:09:26
6. */
7. importjava.io.IOException;
9. importjavax.servlet.Filter;
10. importjavax.servlet.FilterChain;
11. importjavax.servlet.FilterConfig;
12. importjavax.servlet.ServletException;
13. importjavax.servlet.ServletRequest;
14. importjavax.servlet.ServletResponse;
15. importjavax.servlet.http.HttpServletRequest;
16. importjavax.servlet.http.HttpServletResponse;
17. importjavax.servlet.http.HttpSession;
19. importorg.apache.commons.logging.Log;
20. importorg.apache.commons.logging.LogFactory;
22. importcom.work.core.QxglConstants;
24. publicclassAuthFilterimplementsFilter{
25. privatestaticLoglog=LogFactory.getLog(AuthFilter.class);
27. publicvoidinit(FilterConfigfilterConfig)throwsServletException{
28. if(log.isDebugEnabled()){
29. log.debug("初始化权限过滤器。");
30. }
31. }
33. publicvoiddoFilter(ServletRequestservletRequest,
34. ServletResponseservletResponse,FilterChainfilterChain)
35. throwsIOException,ServletException{
36. /**
37. *1,doFilter方法的第一个参数为ServletRequest对象。此对象给过滤器提供了对进入的信息（包括
38. *表单数据、cookie和HTTP请求头）的完全访问。第二个参数为ServletResponse，通常在简单的过
39. *滤器中忽略此参数。最后一个参数为FilterChain，此参数用来调用servlet或JSP页。
40. */
42. HttpServletRequestrequest=(HttpServletRequest)servletRequest;
43. /**
44. *如果处理HTTP请求，并且需要访问诸如getHeader或getCookies等在ServletRequest中
45. *无法得到的方法，就要把此request对象构造成HttpServletRequest
46. */
47. HttpServletResponseresponse=(HttpServletResponse)servletResponse;
49. StringcurrentURL=request.getRequestURI();//取得根目录所对应的绝对路径:
51. HttpSessionsession=request.getSession(false);
54. //如果jsp就验证（login.jsp除外）
55. if(currentURL.indexOf(QxglConstants.LOGIN_PAGE)==-1&&currentURL.indexOf(".jsp")>-1){
56. if(log.isDebugEnabled()){
57. log.debug("对jsp文件进行权限验证。"+"请求的URL:"+currentURL);
58. }
59. //判断当前页是否是重定向以后的登录页面页面，如果是就不做session的判断，防止出现死循环
60. if(session==null||session.getAttribute(QxglConstants.AUTH_SUCCESS)==null){
61. response.sendRedirect(request.getContextPath()+QxglConstants.LOGIN_PAGE);
62. return;
63. }
64. }
65. //加入filter链继续向下执行
66. filterChain.doFilter(request,response);
67. /**
68. *调用FilterChain对象的doFilter方法。Filter接口的doFilter方法取一个FilterChain对象作为它
69. *的一个参数。在调用此对象的doFilter方法时，激活下一个相关的过滤器。如果没有另
70. *一个过滤器与servlet或JSP页面关联，则servlet或JSP页面被激活。
71. */
72. }
75. publicvoiddestroy(){
77. }
78. }

在web.xml中配置权限过滤器

1. <!--进行权限验证-->
2. <filter>
3. <filter-name>AuthFilter</filter-name>
4. <filter-class>
5. com.work.core.filter.AuthFilter
6. </filter-class>
7. </filter>
8. <filter-mapping>
9. <filter-name>AuthFilter</filter-name>
10. <url-pattern>/*</url-pattern>
11. </filter-mapping>