在这里我们不使用spring security权限控制,采用自定义注解+拦截器的方式来实现权限控制,防止用户直接通过url访问不能访问的资源
1 自定义注解
@Target(ElementType.METHOD) //作用于方法上
@Retention(RetentionPolicy.RUNTIME)//运行时有效
public @interface LoginRequired { //表示这个方法是否在登陆状态下才能访问
}
2 编写拦截器
@Component
public class LoginRequiredInterceptor implements HandlerInterceptor {
@Autowired //这是自定义的容器
private HostHolder hostHolder;
@Override //验证用户是否已经登录
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
//是否拦截的方法,如果是我们就取方法上的注解,
if (handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
LoginRequired loginRequired = method.getAnnotation(LoginRequired.class);
//如果有注解,并且用户没有登录
if (loginRequired != null && hostHolder.getUser() == null) {
//重定向到登录界面
response.sendRedirect(request.getContextPath() + "/login");
return false;
}
}
return true;
}
}
最后我们只要将注解 添加到需要进行权控制的方法上即可