SSM框架Filter登录后对权限进行甄别,没有权限不可访问指定页面

最新推荐文章于 2021-08-01 17:57:45 发布
最新推荐文章于 2021-08-01 17:57:45 发布
阅读量681 收藏 1
点赞数
分类专栏: Java基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37419317/article/details/88775502
版权

之前写了关于SSM框架中利用Filter不登陆拦截访问

如果用户没有登录直接访问的话

所有请求全部转到登录页面登录才可访问

以此实现了初步的安全管理

之前去面试也是被问到了这个问题

ps:讲真,现在真的有好多安全控件儿,用这个的还能有多少

好吧,作为基础,毕竟笔者也是新人一枚

话说回来,讲到之前面试被问到这个问题

也就是,在登录成功之后,那么后续的

比如一些只有leader才能使用的管理页面怎么去拦截呢

总不能你登录之后,从某些渠道得到了内页的登录地址

然后直接输入地址就可以访问内页了?

当然是不可能的

今天更新:小白篇:关于内页访问的权限校验

当然还是使用Filter....毕竟别的笔者是真的不会啊,哈哈哈哈

上代码:以之前的登录拦截为基础

SSM框架利用Filter实现页面不登陆拦截,禁止跳过登录强制访问

今日代码:

 
public class UrlFilter implements Filter{

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// TODO 对全栈url进行过滤
		//将request和response对象强转为http类型
		HttpServletRequest req=(HttpServletRequest)request;
		HttpServletResponse resp = (HttpServletResponse)response;
		
		//获取访问的地址
		String url = req.getRequestURI();
		//允许所有人访问的地址,全部定义到数组中
		String[] urls={"tologin.do","login.do","error.do","logout.do","top.do","left.do","right.do"};
		//用来判断用户当前访问地址是否在不登陆可访问的权限内
		boolean contains=true;
		for(String u:urls){
			//url的截取7:因为我的uri根中是 “/dscms/” 共七个字符,根据个人情况,如果没有,不用截取
			if(url.substring(7).equals(u)){
				contains=false;
			}
		}
		//获取session中的对象判断是否登录
		//拦截所有的 .do 请求但不包含tologin.do
		//jsp文件已经封装到webinf下 不用过滤 之过滤 .do请求即可
		if(url.contains(".do")&contains) {
			//获取session
			HttpSession session = req.getSession();
			TUser user=(TUser) session.getAttribute("USER");
			
			if(user==null){//如果用户为空,说明没有登录,返回到登录页面
				resp.sendRedirect("/dscms/tologin.do");
				chain.doFilter(req, resp);
			}else {//用户不为空,说明用户登录了,访问网址的时候验证权限
			    //验证权限,如果当前访问地址没有在用户权限范围内提示地址错误
                if(chkPermission(req)){
                    //继续执行过滤连的剩余部分
                    chain.doFilter(req, resp);
                }else {
                	//没有权限访问,返回错误代码或者自己定义的错误页面
                	resp.sendError(404);
                    //resp.sendRedirect("../error.do");
					chain.doFilter(req, resp);
                }
            }
			
		}

		chain.doFilter(req, resp);

	}
	//判断当前地址权限是否在用户权限范围内
	private boolean chkPermission(HttpServletRequest request){
        //1、获取用户当前访问的uri
        String uri=request.getRequestURI().substring(7);
            //1.1 判断当前uri访问需要的权限id
			//截取当前uri对应的权限地址并查询
			//根据权限地址查询权限id
		System.out.println(uri);
		//获取permission实例:filter中是无法自动注入的,因为这样生成两个该filter的实例A和B(A:tomcat之类的容器管理,B为spring管理)

        //2、获取当前用户的权限集合
		TUser user=(TUser)request.getSession().getAttribute("USER");
		List<TPermission> permissions = user.getPermissions();
		//遍历用户当前权限列表,判断权限
		for(TPermission pers:permissions) {
			if(pers.getUrl()!=null&&!"".equals(pers.getUrl())){
				if (pers.getUrl().equals(uri)) {
					//2.1 、判断,如果当前uri的id在用户权限集合中返回true
					return true;
				}
			}

		}
		//2.2、 如果不在权限中,返回false
		return false;

    }

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

}

之前的文章上面也发出来了

今天用的还是以之前的Filter类作为基础

在用户登录之后,继续加了一层验证

也就是在判断用户已经登录之后

 
if(user==null){//如果用户为空,说明没有登录,返回到登录页面
				resp.sendRedirect("/dscms/tologin.do");
				chain.doFilter(req, resp);
			}else {//用户不为空,说明用户登录了,访问网址的时候验证权限
			    //验证权限,如果当前访问地址没有在用户权限范围内提示地址错误
                if(chkPermission(req)){
                    //继续执行过滤连的剩余部分
                    chain.doFilter(req, resp);
                }else {
                	//没有权限访问,返回错误代码或者自己定义的错误页面
                	resp.sendError(404);
                    //resp.sendRedirect("../error.do");
					chain.doFilter(req, resp);
                }
            }

也就是这里继续校验

下面封装了一个chkPermission()方法

如果写在一起实在显得臃肿

 
//判断当前地址权限是否在用户权限范围内
	private boolean chkPermission(HttpServletRequest request){
        //1、获取用户当前访问的uri
        String uri=request.getRequestURI().substring(7);
            //1.1 判断当前uri访问需要的权限id
			//截取当前uri对应的权限地址并查询
			//根据权限地址查询权限id
		System.out.println(uri);
		//获取permission实例:filter中是无法自动注入的,因为这样生成两个该filter的实例A和B(A:tomcat之类的容器管理,B为spring管理)

        //2、获取当前用户的权限集合
		TUser user=(TUser)request.getSession().getAttribute("USER");
		List<TPermission> permissions = user.getPermissions();
		//遍历用户当前权限列表,判断权限
		for(TPermission pers:permissions) {
			if(pers.getUrl()!=null&&!"".equals(pers.getUrl())){
				if (pers.getUrl().equals(uri)) {
					//2.1 、判断,如果当前uri的id在用户权限集合中返回true
					return true;
				}
			}

		}
		//2.2、 如果不在权限中,返回false
		return false;

    }

开始的时候本来是想要去校验权限的id,但是后来发现其实用substring去截取着实更简单一点(字符串真的操作真的很重要)平时要常看看

还有一点:filter中是不能使用Autowired的,如果需要使用注入的话,可以如下

 
        ServletContext context = request.getServletContext();
        ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context);
        SessionService sessionService = ctx.getBean(SessionService.class);

还记得这个把,刚开始接触spring的时候

通过been.xml去过去,怎么说呢,手动配置加载这样

用框架多了,很多以前的基础都忘了

基础其实才是最重要的,框架千万种,万变不离其宗

只要基础牢固,什么框架都不在话下

可是要是你只会框架,恐怕到时候真的遇到问题就真的老大难咯

最后:关于权限还有部分没有实现——关于部分用户拥有只读权限,部分用户拥有全部操作权限这部分,个人想法是在权限表中在多加一个字段,验证的时候去验证具体 只读/操作,不知道大家有没有什么更好的办法,欢迎评论区讨论留言哈

疯火连城
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSM整合shiro框架进行用户登陆+方法级权限控制
没有所谓的命运,只有不同的选择!
09-11 2551
    最近做项目使用SSM框架需要整合Shiro对用户的权限进行细粒度的控制。由于页面使用的是HTML不是jsp,所以不能在页面上使用标签进行细粒度的权限控制,既然这样那就只能在后台对方法进行细粒度的控制了。     1、引入pom文件依赖: 版本: &lt;shiro.version&gt;1.2.3&lt;/shiro.version&gt; 依赖:...
jsp中判断权限,若没有登录,则不能访问
永宁河的学习笔记
04-22 3119
在jsp中加 permission_adminfilter.jsp中内容如下:    request.setCharacterEncoding("GBK");    String loginUserName = (String)session.getAttribute("session_loginname");    if(!"admin".equals(loginUserNa
SSM框架中基于session的登录校验
Wall的博客
07-14 9508
①DAO层/*** 登录校验* @return*/User loginCheck(@Param("userId")Integer userId,@Param("userPassword")String userPassword);②service层@Overridepublic ServerResponse&lt;User&gt; loginCheck(String userId, String ...
java中如何用过滤器来拦截用户不允许访问的网页(通过地址栏来进行拦截)
萧十一郎博客
06-22 6307
过滤器用来拦截用户不允许访问的网页(通过地址栏来进行拦截)例如:等用户在地址栏输入访问地址后跳转时进行拦截,只允许访问集合中存在的这些网页,在web.xml中先进行如下配置 FilterSerlvet com.zt.filter.FilterSerlvet code utf-8
使用Filter过滤ip禁止访问系统
热门推荐
永恒の_☆
08-07 1万+
在实际应用中,部署的项目如果收到恶意攻击,那么就需要将收到请求的ip过滤掉,现在以Filter过滤器为例讲解实现方式。     1、自定义Filter过滤器,继承自javax.servlet.Filter 这个接口,实现它里面的三个方法;     2、在init() 方法中接收配置的禁止访问的ip,以逗号分隔;     3、在doFilter() 中进行业务处理,取出当前访问的ip 与系统中
SSM中的角色权限
qq_43540129的博客
07-18 879
在我们得软件开发过程中,很多时候都会遇到需要根据用户的角色来管理用户的功能。由于是基于SSM框架的,因此我们在这里引入了spring-security相关的jar包进行处理。 1、首先用Maven导入项目依赖,在这里<spring.security.version>5.0.1.RELEASE</spring.security.version> <!--spring-s...
多功能SSM框架权限管理系统源码
最新发布
03-25
项目名称:多功能SSM框架权限管理系统源码 技术栈: - 主要语言:JavaScript - 包含语言:JavaScript, CSS, HTML, Java, PHP 文件构成: - 总文件数:2350个 - JavaScript 文件:1024个 - CSS 文件:344个 - ...
基于SSM框架简单的后台权限管理系统.rar
01-15
这个"基于SSM框架简单的后台权限管理系统"是一个典型的后台管理系统,旨在实现对用户权限的有效控制,便于企业管理后台操作。在这个系统中,我们将深入探讨SSM框架的核心组件及其在权限管理中的应用。 首先,Spring...
深入解析基于SSM框架的RBAC权限控制模型实战源码
03-25
本项目以SSM框架为基础,结合RBAC权限控制模型,对用户角色和权限进行精细化管理。它不仅体现了良好的代码分层和模块化设计,而且提供了稳定可靠的安全保障,适用于各类需要权限控制的企业级应用场景。
简单的权限登录SSM框架
08-16
【标题】"简单的权限登录SSM框架"是一个基于SpringMVC、Spring、MyBatis三大主流Java Web框架构建的权限管理系统。在这个系统中,开发者利用这些框架的优势来实现用户的身份验证和权限控制,确保只有授权的用户才能...
基于SSM框架开发的权限项目
04-18
项目简介:该权限项目是基于SSM框架开发的,利用maven进行项目管理,共有11个模块:部门树模块、用户模块、权限模块、权限点模块、角色模块、角色权限模块、角色用户模块、权限拦截、权限缓存、权限操作记录等。...
SSM 拦截器验证权限登录与注销的实现
weixin_30511039的博客
06-10 145
拦截器的作用在于,比如我们输入 xxx.com/admin 发起请求进入 网站后台或者其他后台页面。我们的拦截器会在 Controller 调用之前进行拦截,至于什么拦截,由我们来写。比如,判断用户是否登录(可以通过 session 判断),如果没有登录,我们让它跳转到登录页面。 转载https://liuyanzhao.com/6300.html 一、拦截器的基本使用 1、新建一个 ...
IDEA中SSM项目的资源访问路径问题
mocas_wang的博客
09-13 9347
目录 1.项目目录结构 2 url路径访问 2.1 路径地址分析 2.2 修改默认地址资源文件 2.3 修改默认地址栏 3 Controller页面导航 3.1 访问Controller层方法 3.2 Controller对页面进行访问 1.项目目录结构 我们主要关注webapp。 如上图,建议把js,css,layui,首页等文件放在WEB-INF外部,WEB-INF放程序的主要网页,index页面,welcome,各种管理页面等。 WEB-INF是安全目录Tomcat 默
SSM框架+spring security实现用户权限、获取当前登录用户——页面权限控制学习笔记
TL的博客
08-14 2488
SSM框架+spring security实现用户权限、获取当前登录用户——页面权限控制学习笔记 ssm整合spring security可以百度一些文章作参考,在这就不一一诉说了。 spring-security.xml配置文件可以参考上一篇的配置文件,因为都是类似的。 https://blog.csdn.net/weixin_42462709/article/details/99...
SSM项目遇到的问题(六)——拦截器和过滤器
weixin_34233421的博客
05-21 885
过滤器 实现 implements javax.servlet.Filter、XML中配置filter信息。 重写init、doFilter、destroy三个方法 void init(FilterConfig var1) throws ServletException:初始化Filter,在servlet容器启动时执行且只在此时启动一次。(后续 不过滤指定请求 会用到) void ...
SSM--服务器端方法级权限控制、页面权限控制
qq_43430343的博客
08-01 620
介绍: 在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。Spring Security在方法的权限控制上支持三种类型的注解,JSR-250注解、@Secured注解和支持表达式的注解,这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用 开启注解使用 @RolesAllowed(“ADMIN”) 表示访问对应方法时所应该具有的角色 示例: @RolesAllowed({"USER", "ADMIN"}) 该方法只要具
如何让Spring MVC DispatchServlet拦截所有的.do请求,比如/system/*.do!
evilcry2012的专栏
03-30 8604
如何让Spring MVC DispatchServlet拦截所有的.do请求,比如/system/*.do!  分享| 2011-09-22 09:27wangxu198709 | 浏览 5317 次  NetBeans 我现在要使用SpringMVC来编写框架,但是我只是想拦截特定的.do请求,如果配置成/system/*.do会出错,配置如下 basedata
基于SSM框架权限系统的开发
Yuwen_forJava的博客
01-12 8534
基于SSM框架权限系统的开发
ssm框架访问html页面
06-10
SSM框架访问HTML页面可以通过配置Spring MVC的视图解析器来实现。具体步骤如下: 1. 在Spring MVC的配置文件中(一般为springmvc-servlet.xml),配置视图解析器: ``` ``` 其中,`prefix`指定HTML页面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值