权限设计、用户登录校验

最新推荐文章于 2024-04-15 10:32:37 发布
最新推荐文章于 2024-04-15 10:32:37 发布
阅读量1.8k 收藏 5
点赞数
分类专栏: 权限校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24099547/article/details/108566755
版权

准备数据

CREATE TABLE `user` (
  `name` varchar(255) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `role` (
  `name` varchar(255) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `privilege` (
  `name` varchar(255) NOT NULL,
  `uri` varchar(255) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `user_role` (
  `user_name` varchar(255) NOT NULL,
  `role_name` varchar(255) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `role_privilege` (
  `role_name` varchar(255) NOT NULL,
  `privilege_name` varchar(255) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

插入数据

INSERT INTO `user` VALUES ('u1');
INSERT INTO `user` VALUES ('u2');

INSERT INTO `role` VALUES ('r1');
INSERT INTO `role` VALUES ('r2');
INSERT INTO `role` VALUES ('r3');

INSERT INTO `privilege` VALUES ('p1', '/p1');
INSERT INTO `privilege` VALUES ('p2', '/p2');
INSERT INTO `privilege` VALUES ('p3', '/p3');
INSERT INTO `privilege` VALUES ('p4', '/p4');

INSERT INTO `user_role` VALUES ('u1', 'r1');
INSERT INTO `user_role` VALUES ('u1', 'r2');
INSERT INTO `user_role` VALUES ('u2', 'r2');
INSERT INTO `user_role` VALUES ('u2', 'r3');

INSERT INTO `role_privilege` VALUES ('r1', 'p1');
INSERT INTO `role_privilege` VALUES ('r1', 'p2');
INSERT INTO `role_privilege` VALUES ('r2', 'p2');
INSERT INTO `role_privilege` VALUES ('r2', 'p3');
INSERT INTO `role_privilege` VALUES ('r3', 'p3');
INSERT INTO `role_privilege` VALUES ('r3', 'p4');

此时如果要查询某一个用户对应的角色和权限,sql如下

select
	u.name user_name,r.name role_name,p.name privilege_name,p.uri uri
from
	user u
INNER JOIN
	user_role ur ON u.name = ur.user_name
INNER JOIN
	role r on ur.role_name = r.name
INNER JOIN
	role_privilege rp on r.name = rp.role_name
INNER JOIN
	privilege p on rp.privilege_name = p.name
where
	u.name = #{username}

1.通过Filter实现用户登录校验和权限校验

在业务中,只有用户登录了,才能访问服务器中的资源

分析:

  • 1.判断是登录后,才能访问的资源

    • 是:比如各种接口,比如某些jsp资源,判断用户是否登录
    • 否:比如login.jsp,、loginServlet、以及一些css/js文件,直接放行

  • 2.判断当前用户是否登录,判断session中是否有user

    • 有,用户已经登录,放行.(进行用户权限校验)
    • 否.跳转登录页面

(1)用户登录校验

package demo.filter;

import demo.pojo.User;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class LoginFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    // 登录校验
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        // 获取资源请求路径
        String uri = request.getRequestURI();

        // 判断当前访问资源,是否是是登录后,才能访问的资源
        String contextPath = request.getContextPath();
        if (uri.equals(contextPath + "/login.jsp") || uri.equals(contextPath + "/login")
                || uri.startsWith(contextPath + "/css/") || uri.startsWith(contextPath + "/js/")) {
            // 在request中添加一个标识,告诉后面的过滤器,直接放行
            request.setAttribute("filterPass", true);
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            // 此资源需要用户登录后才能访问
            User user = (User)request.getSession().getAttribute("user");
            if(user != null){
                //登录了。放行
                filterChain.doFilter(servletRequest, servletResponse);
            }else{
                //没有登录。跳转登录页面(使用重定向或者请求转发都可以实现)
                // request.getRequestDispatcher("/login.jsp").forward(servletRequest,servletResponse);
                HttpServletResponse response = (HttpServletResponse)servletResponse;
                response.sendRedirect(contextPath + "/login.jsp");
            }
        }

    }

    @Override
    public void destroy() {

    }
}

xml

<!-- 登录过滤器 -->
  <filter>
    <filter-name>loginFilter</filter-name>
    <filter-class>demo.filter.LoginFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>loginFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

登录页面

package demo.controller;

import demo.mapper.UserMapper;
import demo.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;

import javax.servlet.http.HttpServletRequest;

@Controller
public class UserController {

    @Autowired
    private UserMapper userMapper;
    
    
    // 跳转到users.jsp
    @RequestMapping(value = "login")
    public String toUsers(@RequestParam("name")String name, HttpServletRequest request) {
        User user = userMapper.queryUserByName(name);
        request.getSession().setAttribute("user", user);
        return "success";
    }

    // 跳转到users.jsp
    @RequestMapping(value = "p1")
    public String p1(HttpServletRequest request) {
        return "p1";
    }

    // 跳转到users.jsp
    @RequestMapping(value = "p2")
    public String p2(HttpServletRequest request) {
        return "p2";
    }

    // 跳转到users.jsp
    @RequestMapping(value = "p3")
    public String p3(HttpServletRequest request) {
        return "p3";
    }

    // 跳转到users.jsp
    @RequestMapping(value = "p4")
    public String p4(HttpServletRequest request) {
        return "p4";
    }

}

(2)通过filter实现权限控制

package demo.filter;

import demo.pojo.Privilege;
import demo.pojo.Role;
import demo.pojo.User;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

public class PrivilegeFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    // 登录校验
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        
		// 获取标识,判断是否为不需要进行权限校验的资源 
        Boolean pass = (Boolean)request.getAttribute("filterPass");
        if (null == pass || !pass.equals(true)) {
            User user = (User)request.getSession().getAttribute("user");
            
            // 判断用户是否有访问此资源的权限
            Set<String> uri = new HashSet<>();
            List<Role> roles = user.getRoles();
            for (Role role : roles) {
                List<Privilege> privileges = role.getPrivileges();
                for (Privilege privilege : privileges) {
                    uri.add(request.getContextPath() + privilege.getUri());
                }
            }
			// 用户的所有权限包含当前访问资源的uri
            if (uri.contains(request.getRequestURI())){
                filterChain.doFilter(servletRequest, servletResponse);
            } else {
                HttpServletResponse response = (HttpServletResponse)servletResponse;
                response.sendRedirect(request.getContextPath() + "/login.jsp");
            }
            
        } else {
        	// 放pass为true时,此资源不用权限校验,直接放行
            filterChain.doFilter(servletRequest, servletResponse);
        }
    }

    @Override
    public void destroy() {

    }
}

因为在filter中,我们无法知道请求对应的是哪个controller中的哪个方法,所以我们只能通过用户和uri来进行权限控制


2.通过拦截器实现用户登录校验和权限校验

首先我们看下拦截器的如何被调用的。

Web请求被DispatcherServlet截获后,会调用DispatcherServlet的doDispatcher方法。
在这里插入图片描述
当我们访问一个uri,映射器找不到对应的handler时,此时返回的HandlerExecutionChain为null(虽然我们设置的拦截器的路径为/**,拦截所有,但其实拦截器是通过映射器来调用的,只有当映射器找到具体的handler时,才会去找对应的拦截器)

我们在通常情况下,设置DispatcherServlet的url为/,仅处理访问handler的请求,映射器也是如此,它无法去映射到一些静态资源,例如xx.jsp、xx.html、xx.css

也就是说拦截器只能拦截通过映射器找到的handler,映射器无法映射到的资源,它都是不能拦截的,例如xx.jsp、xx.html、xx.css等等

所以在实现用户登录校验时,我们只要关注那些handler(对应的uri)是可以通行的


(1)使用拦截器实现用户登录校验
用户没有登录时,仅能访问/login所对应的handler

package demo.interceptors;

import demo.pojo.User;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.annotation.Annotation;
import java.lang.reflect.Method;

public class LoginInterceptor  implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        String uri = request.getRequestURI();
        // 如果是login放行
        if (uri.equals(request.getContextPath() + "/login")) {
            return true;
        } else{
            User user = (User)request.getSession().getAttribute("user");
            if(user != null){
                //登录了。放行
                return true;
            }else{
                //没有登录。跳转登录页面(使用重定向或者请求转发都可以实现)
                response.sendRedirect(request.getContextPath() + "/login.jsp");
                return false;
            }
        }
    }


    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) throws Exception {
    }


    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
    }
}

path="/**"表示拦截所有层级的路径

<!-- 注册自定义的拦截器 -->
<mvc:interceptors>
    <mvc:interceptor>
        <!-- 拦截所有请求 -->
        <mvc:mapping path="/**"/>
        <!-- 自定义拦截器的全路径 -->
        <bean class="demo.interceptors.LoginInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>

(2)使用拦截器实现权限校验

package demo.interceptors;

import demo.pojo.Privilege;
import demo.pojo.Role;
import demo.pojo.User;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

public class PrivilegeInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {
        String uri = request.getRequestURI();
        // 如果是login放行
        if (uri.equals(request.getContextPath() + "/login")) {
            return true;
        } else{
            //进行权限校验
            User user = (User)request.getSession().getAttribute("user");
            Set<String> uris = new HashSet<>();
            List<Role> roles = user.getRoles();
            for (Role role : roles) {
                List<Privilege> privileges = role.getPrivileges();
                for (Privilege privilege : privileges) {
                    uris.add(request.getContextPath() + privilege.getUri());
                }
            }
            if (uris.contains(request.getRequestURI())){
                return true;
            } else {
                response.sendRedirect(request.getContextPath() + "/login.jsp");
                return false;
            }
        }
    }


    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) throws Exception {
    }


    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
    }
}


<!-- 注册自定义的拦截器 -->
<mvc:interceptors>
    <mvc:interceptor>
        <!-- 拦截所有请求 -->
        <mvc:mapping path="/**"/>
        <!-- 自定义拦截器的全路径 -->
        <bean class="demo.interceptors.LoginInterceptor"/>
    </mvc:interceptor>
    <mvc:interceptor>
        <!-- 拦截所有请求 -->
        <mvc:mapping path="/**"/>
        <!-- 自定义拦截器的全路径 -->
        <bean class="demo.interceptors.PrivilegeInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>

3.总结过滤器和拦截器差别

1.过滤器和拦截器的的触发时机不同,过滤器是进入容器后,但请求进入servlet之前进行预处理的,返回也是在servlet处理完后进行返回的,两者的执行顺序如下图
在这里插入图片描述2.拦截器可以获取IOC容器中的各个bean,而过滤器就不行,因为拦截器是spring提供并管理的,spring的功能可以被拦截器使用,在拦截器里注入一个service,可以调用业务逻辑。而过滤器是JavaEE标准,只需依赖servlet api ,不需要依赖spring。
在这里插入图片描述
3.拦截器可以知道请求对应的是哪个handler(哪个Controller中的哪个method),而过滤器是无法知道的
4.过滤器可以拦截所有的资源,拦截器一般只拦截handler

sp_wxf
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限校验设计
11-14
基于Dubbo Filter,每次请求时通过【调用方(用户令牌)+服务标识+被调接口+调用参数】访问权限管理微服务获取具体权限
项目笔记之权限校验
weixin_73348815的博客
09-23 863
Spring Security概述Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。官网地址: https://projects.spring.io/spring-security/Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3609
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验、SpringSecurity自定义校验、SpringSecurity自定义校验规则、SpringSecurity异常处理器
常见的登录验证方式
最新发布
qq_53207874的博客
04-15 1118
用户要访问B系统时,B系统将它重定向到SSO,已经登录了,所以SSO直接颁发可以访问B系统的ticket,客户端带着这个ticket就可以访问B系统了。这样就实现了一处登录,全线使用。当用户点击链接时,浏览器会自动发送包含用户认证信息的请求,从而执行攻击者指定的操作。Token 机制是无状态的,服务器不需要保存用户的会话状态,因此可以降低服务器的负载,特别适用于分布式系统和微服务架构。当业务线越来也多,就会有更多业务系统分散到不同域名下(不同的系统),就需要(一次登录,全线通用)的能力,这就是单点登录
简单的权限验证
不知名路人甲的博客
11-01 893
如果采用spring家族进行后端开发,想要实现多用户权限很容易联想到spring security,shiro两大常见框架,但是两者都有一定的学习成本,并且由于兼容了很多设计模式的思想,源码很复杂,短时间不容易上手。那么,我们能不能通过一些java基础知识实现呢?因此本文使用。
权限校验—接口检验
一起加油吧~
08-08 2694
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限
SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回
2301_77463738的博客
05-15 1195
但是需要考虑的一点是,如果每个异常都这样写,那么工作量是非常大的,并且还有自定义异常,所以上面这样写肯定是不好的,既然是异常直接写 Exception 就好了,它是所有异常的父类,如果遇到不是前面写的两种异常,那么就会直接匹配到 Exception。我们要对一部分方法进行拦截,而另一部分方法不拦截,比如注册方法和登录方法是不拦截的,也就是实际的拦截规则很复杂,使用简单的 aspectJ 表达式无法满足拦截的需求。通过源码分析,可以看出,Sping 中的拦截器也是通过动态代理和环绕通知的思想实现的。
springMVC 用户登录权限验证实现过程解析
08-25
SpringMVC 用户登录权限验证实现过程解析 本文主要介绍了 SpringMVC 中用户登录权限验证的实现过程解析,通过示例代码介绍了非常详细,对大家的学习或者工作具有一定的参考学习价值。 一、Interceptor 概述 在 ...
漂亮用户登录注册
08-20
"登陆程序集"是指用于处理用户登录逻辑的代码模块,包括用户输入验证、账号检查、权限校验等功能。当用户点击"登录按钮"时,触发这一系列的处理流程。同样,"注册按钮_被单击"表示的是用户注册时的事件处理,这可能...
javaWeb用户权限控制简单实现过程
09-01
在实际应用中,我们还需要考虑一些其他功能,例如用户登录验证、权限校验(在控制器层或者过滤器层检查用户是否有访问特定资源的权限)、角色管理(将一组权限分配给一个角色,用户通过角色获得权限)等。...
用户登录系统
05-20
用户登录系统是网络应用中的核心组成部分,它负责管理和验证用户的账户信息,确保用户身份的安全性和...该系统涵盖了用户注册、登录验证、资料修改等核心功能,并通过合理的设计和实现,确保了系统的安全性和用户体验。
基于Session进行登录校验
abc123mma的博客
10-23 2201
黑马点评项目,基于Session进行登录校验
前端权限校验(以Vue2为例)
weixin_44145894的博客
07-10 2236
前端权限校验仅作为一种辅助手段,真正的权限控制应当在后端进行。
用户权限校验的两种方式 1.cookie结合session 2.jwt(token)。(cookie与session的认识与作用)
weixin_54000091的博客
01-04 1614
cookie结合session,以及使用jwt。这两种方式解决权限校验问题
基于AOP方式实现数据权限校验
weixin_39956506的博客
02-20 1064
基于AOP方式实现数据权限校验
微服务应用之 分布式权限校验
qq15035899256的博客
03-14 930
本文是对微服务的学习,学习了使用 SpringSecurity 框架作为权限校验框架和一种分布式权限校验方案,但是也发现了不足之处。那我们后续会学习 OAuth 2.0 实现单点登录的。之后的学习内容将持续更新!!!
SpringBoot 统一功能处理:用户登录权限校验-拦截器、异常处理、数据格式返回...
Java知音
04-12 803
文章目录统一用户登录权限效验最初用户登录权限校验Spring AOP 统一用户登录验证Spring 拦截器练习:登录拦截器拦截器实现原理统一访问前缀添加统一异常处理统一数据格式返回统一数据格式返回的实现@ControllerAdvice 源码分析本篇将要学习 Spring Boot 统一功能处理模块,这也是 AOP 的实战环节用户登录权限校验实现接口 HandlerInterceptor + W...
一文详细讲解SpringBoot 动态权限校验实现方案
abackcab的博客
02-25 1335
1、定义一个CustomAuthenticationEntryPoint实现AuthenticationEntryPoint处理匿名用户访问无权限资源(可以理解为未登录用户访问,确实有些接口是可以不登录也能访问的,比较少,我们在WebSecurityConfig已经配置过了。但是测试的时候发现,任何接口的调用都会进入这里MyFilterInvocationSecurityMetadataSource getAttriButes方法,包括我webSecurityConfig里配置的不需要登录的url。
讲的太通透了,切面 AOP 优雅的实现权限校验
良月柒
09-30 61
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 15 分钟。来自:blog.csdn.net/mu_wind/article/details/1027580051 理解AOP1.1 什么是AOPAOP(Aspect Oriented Programming),面向切面思想,是Spring的三大核心思想之一(两外两个:IOC-控制反转、DI-依赖注入)。那么AOP为何那么重要呢...
用户登录业务功能的详细设计与实现应该如何写
09-04
对于用户登录业务功能的详细设计与实现,一般需要考虑以下几个方面: 1. 用户注册:用户需要提供一些基本信息,如用户名、密码、邮箱等,系统需要对这些信息进行校验和存储。 2. 用户登录用户输入用户名和密码后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值