权限拦截功能开发 过滤器

最新推荐文章于 2024-07-02 16:38:46 发布
最新推荐文章于 2024-07-02 16:38:46 发布
阅读量527 收藏
点赞数
分类专栏: Spring Security 文章标签: 权限拦截过滤器

AclControlFilter

@Slf4j
public class AclControlFilter implements Filter {

    private static Set<String> exclusionUrlSet = Sets.newConcurrentHashSet();

    private final static String noAuthUrl = "/sys/user/noAuth.page";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String exclusionUrls = filterConfig.getInitParameter("exclusionUrls");
        List<String> exclusionUrlList = Splitter.on(",").trimResults().omitEmptyStrings().splitToList(exclusionUrls);
        exclusionUrlSet = Sets.newConcurrentHashSet(exclusionUrlList);
        exclusionUrlSet.add(noAuthUrl);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String servletPath = request.getServletPath();
        Map requestMap = request.getParameterMap();

        if (exclusionUrlSet.contains(servletPath)) {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }

        SysUser sysUser = RequestHolder.getCurrentUser();
        if (sysUser == null) {
            log.info("someone visit {}, but no login, parameter:{}", servletPath, JsonMapper.obj2String(requestMap));
            noAuth(request, response);
            return;
        }
        SysCoreService sysCoreService = ApplicationContextHelper.popBean(SysCoreService.class);
        if (!sysCoreService.hasUrlAcl(servletPath)) {
            log.info("{} visit {}, but no login, parameter:{}", JsonMapper.obj2String(sysUser), servletPath, JsonMapper.obj2String(requestMap));
            noAuth(request, response);
            return;
        }

        filterChain.doFilter(servletRequest, servletResponse);
        return;
    }

    private void noAuth(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String servletPath = request.getServletPath();
        if (servletPath.endsWith(".json")) {
            JsonData jsonData = JsonData.fail("没有访问权限,如需要访问,请联系管理员");
            response.setHeader("Content-Type", "application/json");
            response.getWriter().print(JsonMapper.obj2String(jsonData));
            return;
        } else {
            clientRedirect(noAuthUrl, response);
            return;
        }
    }

    private void clientRedirect(String url, HttpServletResponse response) throws IOException{
        response.setHeader("Content-Type", "text/html");
        response.getWriter().print("<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Strict//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\">\n"
                + "<html xmlns=\"http://www.w3.org/1999/xhtml\">\n" + "<head>\n" + "<meta http-equiv=\"content-type\" content=\"text/html; charset=UTF-8\"/>\n"
                + "<title>跳转中...</title>\n" + "</head>\n" + "<body>\n" + "跳转中,请稍候...\n" + "<script type=\"text/javascript\">//<![CDATA[\n"
                + "window.location.href='" + url + "?ret='+encodeURIComponent(window.location.href);\n" + "//]]></script>\n" + "</body>\n" + "</html>\n");
    }

    @Override
    public void destroy() {

    }
}

/noAuth.page

    @RequestMapping("/noAuth.page")
    public ModelAndView noAuth() {
        return new ModelAndView("noAuth");
    }

sql

  <select id="getByUrl" parameterType="string" resultMap="BaseResultMap">
    SELECT <include refid="Base_Column_List" />
    FROM sys_acl
    WHERE url = #{url} <!-- url is not null and url != '' and  #{url} REGEXP url-->
  </select>

SysCoreService

    public boolean hasUrlAcl(String url) {
        if (isSuperAdmin()) {
            return true;
        }
        List<SysAcl> aclList = sysAclMapper.getByUrl(url);
        if (CollectionUtils.isEmpty(aclList)) {
            return true;
        }

        List<SysAcl> userAclList = getCurrentUserAclListFromCache();
        Set<Integer> userAclIdSet = userAclList.stream().map(acl -> acl.getId()).collect(Collectors.toSet());

        boolean hasValidAcl = false;
        // 规则:只要有一个权限点有权限,那么我们就认为有访问权限
        for (SysAcl acl : aclList) {
            // 判断一个用户是否具有某个权限点的访问权限
            if (acl == null || acl.getStatus() != 1) { // 权限点无效
                continue;
            }
            hasValidAcl = true;
            if (userAclIdSet.contains(acl.getId())) {
                return true;
            }
        }
        if (!hasValidAcl) {
            return true;
        }
        return false;
    }

Web.xml

  <filter>
    <filter-name>aclControlFilter</filter-name>
    <filter-class>com.mmall.filter.AclControlFilter</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>exclusionUrls</param-name>
      <param-value>/sys/user/noAuth.page,/login.page</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>aclControlFilter</filter-name>
    <url-pattern>/sys/*</url-pattern>
    <url-pattern>/admin/*</url-pattern>
  </filter-mapping>
天海华兮
关注
专栏目录
权限管理(过滤器粗粒度无侵入拦截方式)
05-06
权限管理(过滤器粗粒度无侵入拦截方式)
个人笔记--Servlet之过滤器实现权限拦截
weixin_34197488的博客
11-25 229
一、编写一个Java类实现javax.servlet.Filter接口 package cn.edu.sxu.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im...
一文搞定登录权限验证,轻松掌握过滤器拦截器与AOP
最新发布
Hi_alan的博客
07-02 1076
4. 1 过滤器 vs 拦截器 - 过滤器是Servlet规范的一部分,独立于具体框架,主要用于HTTP请求和响应的预处理和后处理,如字符编码、安全控制等。 - 拦截器是Spring MVC框架的一部分,依赖于Spring容器,可以访问Spring管理的Bean,用于业务处理方法的预处理和后处理,如权限验证、事务管理等。 4.2 拦截器 vs AOP - 拦截器是针对特定的请求路径或者Controller进行拦截和增强,属于局部性的增强。 - AOP是一种更为广泛的横切关注点的编程
权限拦截
Richard_666的博客
07-12 345
<!--拦截请求,对sys和admin进行拦截--> <filter> <filter-name>loginFilter</filter-name> <filter-class>com.mall.filter.LoginFilter</filter-class> </filter> <f...
权限拦截
qq_16746441的博客
12-18 169
/static/**=anon /images/**=anon /login/**=anon /motorCycle/**=anon /login/logout=logout /**=authc 比如前三个是不用拦截的 可是最后一个要过滤所有的路径 由于前三个有“=anon”所以 他们三个开通了绿色通道可以不用拦截
权限拦截
ѧѦ ѧ
07-03 280
public class PrivilegeInterceptor extends MethodFilterInterceptor { @Override protected String doIntercept(ActionInvocation actionInvocation) throws Exception { User user = (User) Se...
浅谈springMVC拦截器和过滤器总结
08-31
在Spring MVC中,有两种常见的机制可以用来对访问的URL进行拦截处理:拦截器(Interceptor)和过滤器(Filter)。这两者都可以实现预处理和后处理功能,但它们的工作方式和应用场景有所不同。 ### 拦截器...
拦截器和过滤器的区别
08-20
在现代软件开发过程中,特别是Web应用程序中,为了实现灵活高效的业务逻辑处理及控制流管理,常常会使用到两种设计模式:拦截器(Interceptor)与过滤器(Filter)。这两种技术虽然在功能上有一定的相似之处,但其...
struts2过滤器拦截器的区别分析
09-02
- 拦截器则更加灵活,它不仅可以实现过滤器功能,还可以在Action执行前后添加业务逻辑。例如,记录日志、权限检查、事务管理、性能监控等。拦截器的设计使得代码结构更加清晰,业务逻辑与控制逻辑分离。 在实际...
浅析JAVA中过滤器、监听器、拦截器的区别
09-03
在Java Web开发中,过滤器(Filter)、监听器(Listener)和拦截器(Interceptor)是三种常见的组件,它们各自承担着不同的职责,本文将详细介绍这三者的概念、用途、实现方式和运行机制,并通过代码示例来进行说明...
Java SpringBoot实现的过滤器(和拦截器)控制登录页面跳转
04-13
相比于过滤器拦截器更专注于业务逻辑,如权限校验、日志记录等。在SpringBoot中,我们可以通过实现HandlerInterceptor接口创建自定义拦截器。 5. **登录验证**: 登录验证是Web应用中的核心功能,用于确保只有...
拦截器实现权限管理
11-18
拦截器实现权限管理,没与数据库交互,不过原理差不多了
用户权限拦截
tianruine的博客
06-05 482
在后端创建每个用户信息的时候都有一个leaval的权限属性,通过这个leaval来确定这个用户是一个adminy用户还是一个管理员用户,此时返回一个403状态码,我们可以通过这个状态码,来弹出一个用户权限不足的提示,402token失效1.不同用户返回不同的侧边栏后端通过用户返回一个接口,这个接口里面显示侧边栏信息不同,例如A用户,通过后端接口只返回下面的权限 上面这种方法只是让功能权限不在页面上显示,但是如果用户记住了路径信息的话,在地址上写入路径信息还是能够访问到的,因此在路由上还需要配置,也
spring mvc 权限拦截
随记
10-13 757
spring配置文件中加上拦截配置: <!-- 配置mvc的拦截器 可以配置多个 --> <mvc:interceptors> <mvc:interceptor> <!-- 需要被拦截的路径 --> <mvc:mapping path="/operator/**"/> <mvc:mapping pat
RABC 权限拦截设置
ytsydmx的博客
03-28 8501
1 RABC 是什么? rabc 是一种用于设计权限的一种思想,流程图如下 2 硬编码实现的思想 RABC 主要有user 用户表,role角色表,permission权限表,以及role-permission和user-role的中间关联表,但是实际上对于一般的需求,我们可以只使用user用户表, 里面存储字段标识 角色信息,然后在代码层面进行编码方式 使用enum枚举出所有角色表,使用 权限注解标识方法,将权限注解与方法进行一个绑定,其中权限里面包括(角色)信息,通过拦截器进行拦截权限进行筛选。
如何用过滤器实现一个登录的权限控制呢?
王伟的博客
02-11 2246
一、如何用过滤器实现一个登录的权限控制呢?1. 先从服务器端得到session对象 2. 然后得到session中你需要的的数据 3. 判断你有没有得到这个对象的session数据,进行控制或者给你跳转到登录界面,让你重新登录 @WebFilter(filterName = "UserFilter",urlPatterns = "/category")//这个不是一般的映射,而是过滤器过滤的范围,也
权限拦截如何实现
weixin_46942139的博客
05-21 1594
实现权限拦截需要五张表分别是:用户表,角色表,用户角色表,权限表,角色权限表。 这五张表的关系是:用户和角色是多对多,角色和权限是多对多。 权限拦截拦截的什么呢? 如果你给这个用户赋予了权限,这个则不需要拦截。所以拦截的是用户的权限。 梳理完关系之后,我们就开始说如何实现。 ...
Filter过滤器实现权限控制
hffygc的博客
01-27 1098
Filter过滤器实现权限控制
登录拦截兄弟篇权限拦截
weixin_46763029的博客
06-02 1215
权限拦截 思路解析 一.阅读本篇之前,可以先提前了解小编在之前写过的登录拦截的那篇博客。有助于更好的理解本篇权限拦截。 二.权限拦截思路解析:获取用户访问路径uri 1.首先遍历所有的权限判断其中是否包含该uri,如果不包含则不需要拦截(比如:userController/login )比如这个登录方法的路径访问时就不需要拦截,即我们只拦截所有权限里的路径,因此在数据库编写路权限径时注意区分大小写,及不能漏掉要拦截权限路径。如果包含则需要判断该用户是否有对应权限。 2.当所有的权限包含该uri时,判断该用
Struts2拦截器与过滤器详解及使用
"本文讨论了拦截器和控制器的区别,主要集中在Struts2框架中的拦截器(Interceptor...在Struts2框架中,拦截器提供了更为灵活和强大的功能,如异常处理、事务管理和权限控制,而过滤器则主要用于数据的预处理和后处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值