Struts2中基于Annotation的细粒度权限控制

最新推荐文章于 2020-08-18 15:57:38 发布
最新推荐文章于 2020-08-18 15:57:38 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: struts2 spring hibernate 文章标签: struts access action null mvc login

权限控制是保护系统安全运行很重要的一扇门。在web应用里,仅仅隐藏url是不够的。由于web应用是以请求/响应为单位的,我们的权限控制的粒度只有达到这个程度才能让全国人民放心。在java web开发的世界里,MVC框架的使用再平常不过,大都是将请求拦截后,控制器根据配置文件将请求转给某个函数来处理。下面看看在struts2中我们可以用的几种方案:
      1、在每个函数里进行权限校验
      这主意实在是简单,缺点我就不说了~太多了~
      2、在每个请求对应的Action的配置项里配置参数,用以标示访问此Action需要的权限,再用拦截器处理
      以前我这么做过,比方案1好很多,不过这注定你无法实现ZeroConfig。在ROR的促进下,约定优于配置渐渐深入人心。本人就极其反感大量的配置文件。但是由于权限配置提到XML里配置,最大的好处就是我不必重新编译代码就能改变权限关联。不过情况下遇到需求变更,你会有一种宁可去改代码的冲动。
      3、结合Java的Annotation和Struts2的拦截器控制权限
      下面是上午没事写的一个示例:访问login.jsp,登录,功能有eat和drink,用户登陆后只能访问已授权的功能链接。
      基本思想:对每个Action方法进行注解,并注入一个资源字符串,部署一个拦截器,在每个请求之前拦截一下,通过反射拿到所调用的方法及其注解,依此来进行权限校验。
      优点:
      简单、可行性高
      不修改MVC框架配置文件
      不影响Action内的业务逻辑
      注解的原则之一就是不影响代码的运行,这也实现了本方案的可插拔性、独立性高
      更高的可配置性
      缺点:
      不知道对性能影响如何

      代码基本上都贴到下面了,不想细讲了,有兴趣的可以留言讨论,觉得我火星的就不要拍砖了,有需要eclipse工程源码的发邮件问我要shoru#163.com。



      (1)Annotation相关

 1package com.shoru.access;
 2
 3import java.lang.annotation.ElementType;
 4import java.lang.annotation.Retention;
 5import java.lang.annotation.RetentionPolicy;
 6import java.lang.annotation.Target;
 7
 8/**
 9 * 访问控制注解
10 * 该注解保留到运行时,针对方法使用,默认为BLOCK
11 * @author Shoru
12 * @version 0.1
13 */
14@Retention(RetentionPolicy.RUNTIME)
15@Target(ElementType.METHOD)
16public @interface Access {
17    String[] value() default { AccessOption.BLOCK };
18}

 1package com.shoru.access;
 2
 3/**
 4 * 访问控制接口,定义默认的控制常量
 5 * @author Shoru
 6 * @version 0.1
 7 */
 8public interface AccessOption {
 9    /**
10     * 拦截访问
11     */
12    public static String BLOCK="block";
13    /**
14     * 通过访问
15     */
16    public static String PASS="pass";
17    /**
18     * 要求登录
19     */
20    public static String LOGIN="login";
21}


 1package com.shoru.access;
 2
 3
 4/**
 5 * 用户自定义控制接口,继承自AccessOption
 6 * 可将系统权限全部定义到此处,格式为:权限名=资源名
 7 * @author Shoru
 8 * @see AccessOption
 9 */
10public interface UserAccessOption extends AccessOption {
11    public static String EAT = "eat";
12    public static String DRINK = "drink";
13}

      (2)Action类

 1package com.shoru.access.action;
 2
 3import java.util.ArrayList;
 4import java.util.List;
 5
 6import com.opensymphony.xwork2.Action;
 7import com.opensymphony.xwork2.ActionContext;
 8import com.shoru.access.Access;
 9import com.shoru.access.UserAccessOption;
10
11public class AccessAction implements Action {
12    @Access
13    public String execute() throws Exception {
14        return SUCCESS;
15    }
16
17    @Access(UserAccessOption.PASS)
18    public String index() throws Exception {
19        /*
20         * 此处模拟权限的获取
21         */
22        List<String> accessPoints = new ArrayList<String>();
23        /*
24         * 赋予eat权限
25         */
26        accessPoints.add("eat");
27        ActionContext.getContext().getSession().put("access", accessPoints);
28        return SUCCESS;
29    }
30
31    @Access(UserAccessOption.DRINK)
32    public String drink() throws Exception {
33        return SUCCESS;
34    }
35
36    @Access( { UserAccessOption.EAT })
37    public String eat() throws Exception {
38        return SUCCESS;
39    }
40}

      (3)拦截器

 1package com.shoru.access.interceptor;
 2
 3import java.lang.annotation.Annotation;
 4import java.lang.reflect.Method;
 5import java.util.List;
 6
 7import com.opensymphony.xwork2.ActionContext;
 8import com.opensymphony.xwork2.ActionInvocation;
 9import com.opensymphony.xwork2.interceptor.Interceptor;
10import com.opensymphony.xwork2.util.AnnotationUtils;
11import com.shoru.access.Access;
12import com.shoru.access.AccessOption;
13
14public class AccessInterceptor implements Interceptor {
15
16    private static final long serialVersionUID = -1066389312400000758L;
17
18    List<String> accessPoints = null;
19
20    public void init() {
21
22    }
23
24    public void destroy() {
25        accessPoints = null;
26    }
27
28    public String intercept(ActionInvocation invocation) throws Exception {
29        if (accessPoints == null) {
30            /*
31             * 获取权限列表
32             */
33            accessPoints = (List<String>) ActionContext.getContext()
34                    .getSession().get("access");
35        }
36        /*
37         * 获取此次调用的方法名
38         */
39        String method = invocation.getProxy().getMethod();
40        /*
41         * 获取所有已注解方法
42         */
43        List<Method> methods = AnnotationUtils.findAnnotatedMethods(invocation
44                .getAction().getClass(), Access.class);
45        /*
46         * 迭代所有已注解方法
47         */
48        for (Method m : methods) {
49            if (m.getName().equals(method)) {
50                /*
51                 * 获取被调用方法的注解
52                 */
53                Annotation annotation = m.getAnnotation(Access.class);
54                /*
55                 * 放过不需要校验权限列表的请求,e.g.登录、验证码
56                 */
57                for (String s : ((Access) annotation).value()) {
58                    if (s.equals(AccessOption.PASS)) {
59                        return invocation.invoke();
60                    }
61                }
62                /*
63                 * 权限列表为空,返回登录
64                 */
65                if (accessPoints == null) {
66                    return AccessOption.LOGIN;
67                }
68                /*
69                 * 迭代方法注解里的值,判断是否存在于权限列表中
70                 */
71                for (String s : ((Access) annotation).value()) {
72                    if (accessPoints.indexOf(s) != -1) {
73                        /*
74                         * 权限校验通过
75                         */
76                        return invocation.invoke();
77                    }
78                }
79            }
80        }
81        /*
82         * 没有对方法进行注解或者权限校验不通过,拦截此次请求
83         */
84        return AccessOption.BLOCK;
85    }
86}
      (4)struts.xml

 1<?xml version="1.0" encoding="UTF-8"?>
 2<!DOCTYPE struts PUBLIC
 3    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
 4    "http://struts.apache.org/dtds/struts-2.0.dtd">
 5<struts>
 6    <package name="access" extends="struts-default">
 7        <interceptors>
 8            <!-- 权限拦截器 -->
 9            <interceptor name="access"
10                class="com.shoru.access.interceptor.AccessInterceptor"></interceptor>
11            <interceptor-stack name="my-default">
12                <interceptor-ref name="access"></interceptor-ref>
13                <interceptor-ref name="defaultStack"></interceptor-ref>
14            </interceptor-stack>
15        </interceptors>
16        <default-interceptor-ref name="my-default"></default-interceptor-ref>
17        <global-results>
18            <result name="block">/login.jsp</result>
19            <result name="login">/login.jsp</result>
20        </global-results>
21        <!-- Zero Config All Actions -->
22        <action name="*" class="com.shoru.access.action.AccessAction"
23            method="{1}">
24            <result>/{1}.jsp</result>
25        </action>
26    </package>
27</struts>

lick4050312
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2.3.15 基于Annotation的小DEMO
11-27
在这个基于Annotation的小DEMO,我们将探讨如何使用Struts2.3.15的注解特性来创建一个简单的Web应用。 首先,Struts2的注解简化了Action类的配置。在传统的Struts2配置,我们通常会在struts.xml文件定义每个...
关于appfuseStruts2.0.1AnnotationUtils.findAnnotation(User.class, Table.class) 报错问题
wuwenlong527的专栏
03-28 1835
  I create a new project with appfuse-basic-struts. and after i executed mvn appfuse:full-source mvn clean mvn eclipse:eclipse and import the project into my eclipse, there is an compile error in line
java.lang.ClassNotFoundException: com.opensymphony.xwork2.util.ValueStack
evilcry2012的专栏
07-23 1916
struts2突然报错,原先运行好好的,求高手解答! [问题点数:40分,结帖人sqs201]             不显示删除回复           显示所有回复            显示星级回复           显示得分回复            只显示楼主          收藏 sqs201 七彩邪云
strutsjava.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils的解决办法
编程语言小筑
08-09 846
一年前,自己学Struts时,就发现用了struts的标签,就会报这个鸟错误,一年前自己比较菜,也不知道怎么解决问题,又由于有已经搭好的环境,所以没深究,就过去了。。。 今天,想试一个Struts的标签,结果又来了这个鸟错误:java.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils 网上总说和什么jso...
java.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils
09-15 2171
java.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtilsstruts 2.1.8 和 strut2 json plug 搭配是出现此异常。。 java.lang.NoClassDefFou
Struts2Annotation注解配置使用案例struts013
12-05
Struts2Annotation注解的引入为开发者提供了更加灵活和便捷的配置方式,使得无需在XML配置文件进行繁琐的设置,可以直接在类或方法上通过注解来进行配置。本文将深入探讨Struts2Annotation配置,以及...
struts2 hibernate3 spring2.5 annotation 整合
01-16
Struts2、Hibernate3和Spring2.5是Java Web开发的三大框架,它们各自负责不同的职责,但可以协同工作以构建高效的企业级应用。这里主要讨论的是如何将这三者结合,并利用注解(Annotation)进行配置,以简化开发...
反射和注解的妙用-struts2权限控制
06-22
### 反射与注解在Struts2的应用——实现精细权限控制 #### 一、引言 在软件开发过程权限控制是一项重要的安全措施,它确保系统的不同部分只能被授权用户访问。对于大型管理系统(MIS)而言,基于方法级别的...
struts2-Annotation
03-11
在给定的“struts2-Annotation”主题,重点是Struts2框架如何利用注解(Annotation)来增强其功能和简化配置。注解是一种元数据,可以在代码嵌入,提供有关类、方法或字段的额外信息,而无需编写XML配置文件。 ...
struts2升级之后报错“java.lang.NoSuchMethodError: org.apache.commons.lang3.reflect.MethodUtils.getAnnotatio
qq_44790703的博客
08-18 2811
struts2从2.3.37升到2.5.22后报错如下: 17-Aug-2020 17:27:46.966 SEVERE [http-nio2-8083-exec-3] org.apache.catalina.core.StandardWrapperValve.invoke Servlet.service() for servlet [default] in context with path [/yizhiting] threw exception [Filter execution threw an
Spring5 Spring AnnotationUtils处理注解
weixin_33691817的博客
03-21 1713
为什么80%的码农都做不了架构师?>>> ...
struts2 18拦截器详解(十八) --- AnnotationValidationInterceptor
云原生之家
11-06 3373
AnnotationValidationInterceptor    AnnotationValidationInterceptor拦截器处于defaultStack第十七的位置,主要是用于数据校验的,该拦截器继承自ValidationInterceptor拦截器增加了在方法上使用注解取消校验功能。ValidationInterceptor又继承自MethodFilterInterc
struts2 java.lang.ClassNotFoundException: org.apache.commons.lang.xwork.StringUtils
dns007
07-04 5720
struts2.3  action 返回JSON数据调试过程报错 最终定位到json-plugin的jar包版本不一致导致 struts2-core-2.3.16.3.jar struts2-json-plugin-2.3.16.jar struts2-spring-plugin-2.3.16.3.jar xwork-core-2.3.16.3.jar action返回json格式方
基于Struts2拦截器的权限控制
樱*夜精灵
02-19 1563
<br />最近闲来无事,自己做了个通过struts2拦截器的权限控制的小例子。主要是通过struts2的核心拦截器机制,不依赖于容器,实现一个可以精确到方法上的细粒度权限控制。 <br /><br />     该小例子借鉴了网上一些前辈们,还有学界同行们的项目经验,我取其优秀的部分,稍加加工,改造而成,还非常不完善,欢迎大家批评指正。该小例子只供学习交流,无意于商业化使用,也无意于挑起任何争端。<br /><br />    下面是一些类的代码,这里可能需要大家对注解比较熟悉,不过不熟悉也不影响,和
通过struts2拦截器实现权限管理
wmj2003
08-29 78
packagecom.work.qxgl.login; importjava.util.List; importjava.util.Map; importjavax.servlet.http.HttpServletRequest; importorg.apache.commons.logging.Log; importorg.apache.comm...
struts2的CRUD权限控制初探(转)
weixin_33910434的博客
01-28 71
在信息管理系统,涉及到最多的就是对信息(数据)的增删改查,当然在真是的系统,对于这些操作要控制在严格的权限,在前面的文章,我们已经使用 struts2+hibernate+spring实现了简单的crud操作,现在我们就来研究下如何给这些相关操作增加权限控制。 当然最简单的实现就是在每个Action的CRUD方法首先判断登陆用户的权限,如果没有此方法操...
利用反射与注解实现Struts2精细权限控制
Struts2框架,实现基于方法级别的权限控制是一项关键任务,特别是在复杂的管理信息系统(MIS)。本文主要介绍了如何运用反射和自定义注解来实现这种精细的权限控制。 首先,我们创建一个名为`Authority`的注解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值