权限验证框架-authorityFilter学习

最新推荐文章于 2022-10-12 10:59:38 发布
最新推荐文章于 2022-10-12 10:59:38 发布
阅读量530 收藏 1
点赞数
文章标签: web.xml java json
原文链接:https://my.oschina.net/jsonavaj/blog/131978
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1.简介

demo,jar,src,doc下载地址:http://code.google.com/p/my-project-authorityfilter/downloads/list

 基于java 过滤器(Filter)实现对权限控制的框架。软件由三部分组成:

权限过滤器AuthorityFilter # 负责过滤url并执行权限检查器中的权限验证方法(check).配置在web.xml中

权限检查器PermissionChecker # 由用户基于业务扩展,但必须继承类:PermissionChecker,实现check方法。用户继承的Checker类必须配置在Authority的init-param中,param-name 为用户扩展的permissionChecker.           

权限数据处理器AuthorityHandler # 权限数据是有结构的。相当于一个hash.即权限组的概念。{

                    group1:[/webModel1.do*,/webModel2/*.do*,/webModel3.do?method=hello*]

                          }

                  注:'*'代表任意字符。

权限数据的主要来源有两种:

1.DB,从DB查出数据组装出以上hash结构。即:Map<String,Collection<String>>.

2.从权限数据文件获得。

       此文件可以配置在AuthorityFilter的init-param中,param-nam为:authortyFile(文件扩展名必须是.authorty).

      如果不从web.xml配置,也可以用权限数据处理器中的方法去加载文件。

      权限数据文件中权限的格式是一种我称之为友好型JSON(friendly json)[不需要双引号、单引号之类的字符]的形式={ group1:[/webModel1.do*,/webModel2/*.do*,/webModel3.domethod=hello*] , group2:[/webModel1.do*,/webModel2.do?mechod=add*,/webModel3.do*] 

                       }

权限数据处理提供了很多中<验证权限的方法>,<管理权限数据的方法>,<加载权限数据的方法>。

 

 

2.学习
2.0jar包
   --authorityFilter.jar
   --log4j.jar
   --fastjson.jar

2.1在web.xml中配置authorityFilter 

<!--authenFilter-->
<filter>
    <filter-name>authenFilter</filter-name>
    <filter-class>org.authority.core.filter.AuthorityFilter</filter-class>
    <init-param>
      <param-name>permissionChecker</param-name>
      <param-value>com.ssm.bussiness.security.MyPermissionChecker</param-value>
    </init-param>
    <init-param>
      <param-name>authorityFile</param-name>
      <param-value>com/ssm/bussiness/security/authen.authority</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>authenFilter</filter-name>
    <url-pattern>*.so</url-pattern>
  </filter-mapping>

 

2.2书写permissionChecker类 

/**
 * 
 */
package com.ssm.bussiness.security;


import java.io.IOException;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.authority.core.checker.PermissionChecker;
import org.authority.core.handler.AuthorityHandler;

/**
 * com.ssm.common.AccessAuthenFilter
 * @author JsonZou
 * copyright  2012
 *********************************
 * 修改项                 修改人                修改时间
 *
 *********************************
 */
public class MyPermissionChecker extends PermissionChecker{ 
	
@Override
public void init(){

/*	
//init 方法中可以加载权限到缓存authority,加载方式有很多种手工、读取authority文件、从DB查询。
//AuthorityHandler类就是提供这些管理权限缓存的方法。
//根据需要init自己定义书写。如果不写此方法,则默认权限只有web.xml中配置的authorityFile文件中读取
//web.xml中的的authorityFile路径是从src下开始的。

<init-param>
      <param-name>authorityFile</param-name>
      <param-value>com/ssm/bussiness/security/authen.authority</param-value>
    </init-param>

//以下只是示范。

try { AuthorityHandler.addAuthorityFromFile("com/ssm/bussiness/security/au1.authority"); } catch (IOException e) { e.printStackTrace(); } String jsonResources_format="{teacher:[/teacher.so*]}"; AuthorityHandler.addAuthorityFromFriendlyJSON(jsonResources_format); Map m=new HashMap(); List l=new ArrayList(); l.add("/student.so*"); m.put("student",l); AuthorityHandler.addAuthorityFromMapColection(m); List l2=new ArrayList(); l2.add("/major.so*"); AuthorityHandler.addAuthorityFromCollection("student",l2); */ }



@Override public Boolean check(HttpServletRequest request,HttpServletResponse response) throws IOException, ServletException{ HttpSession session = request.getSession(); Object roleInfo=session.getAttribute("roleInfo"); String roleCode=session.getAttribute("roleCode")==null?"":session.getAttribute("roleCode").toString(); String url=super.getUrl(request); if(roleInfo==null){ if(!AuthorityHandler.check(new String[]{"common_nologin"}, url)){ redirect("index.jsp", request, response); return false; } }else if(!AuthorityHandler.check(new String[]{roleCode,"common_login","common_nologin"}, url)){ redirect("page/error/error.jsp?err=noAuthen", request, response); return false; } return true; } //getUrl可以重写,用来获取你的action url。当然如果不重写,默认是: 
	/**
	 * Get the request's servlet path
	 * @date 2013-5-4
	 * @author JsonZou
	 * @param request   HttpServletResponse
	 */
	public String getUrl(HttpServletRequest request){
		    return request.getServletPath();
	};

//因为本例mvc框架用的是stripes,他的action是这样的:http://localhost:8080/ssm/student.action?methordName=&param1=param1val&param2=param2val
//即第一个参数名字代表的是action的方法。所以需要重写。
@Override public String getUrl(HttpServletRequest request){ String path=request.getServletPath(); String method="";String value=""; String queryString= request.getQueryString(); if(queryString!=null&&!"".equals(queryString)){ String methodquery=queryString.split("&")[0]; String[] method_value=methodquery.split("="); if(method_value!=null){ method=method_value[0]; if(method_value.length==2){ value=method_value[1]; } } } return path+(method!=null&&!"".equals(method)&&(value==null||"".equals(value))?("?"+method):""); } }

 

 

 2.3authorityFile文件配置(当然你也可以不配置而从DB中获取资源)
authorityFile中的配置是一种我称之为友好型JSON(不需要引号)的形式: 

{
	manager:[/student.so*,/teacher.so*,/notice.so*,/major.so*,/subject.so?*verify*,/manager.so*],
	teacher:[/subject.so*,/choose.so?*verify*,/manager.so?selAll*],
	teacher_exclude:[/subject.so?*verify*],
	student:[/choose.so*],
	student_exclude:[/choose.so?*verify*],
	common_nologin:[/notice.so?show*,/login.so*],
	common_login:[/major.so?selAll*,/subject.so?downloadFile*,/choose.so?downloadFile*,/login.so?toPassword*]
}
有两点需要注意:
  1)*代表所有字符
  2)权限组以_exclude结尾表示要排除的权限。如:上面的teacher_exclude,则表示排除/sbubject.so*中方法包含verify的权限路径


可参考:http://www.itblog8.cn/java/20130519127.html

转载于:https://my.oschina.net/jsonavaj/blog/131978

weixin_34397291
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot权限验证学习-下
04-28
在Spring Boot框架中,权限验证是构建安全应用的关键部分,它确保了只有授权的用户才能访问特定的资源或执行特定的操作。"springboot权限验证学习-下"这个主题主要涉及了菜单权限、按钮权限和数据权限这三方面的实现...
Sa-Token轻量级 Java 权限认证框架-学习和测试
最新发布
04-03
Sa-Token 主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题 Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分,适合学习和测试
聊聊dubbo-go-proxy的authorityFilter
go4it
02-04 119
序 本文主要研究一下dubbo-go-proxy的authorityFilter authorityFilter dubbo-go-proxy/pkg/filter/authority/authority.go func Init() { extension.SetFilterFunc(constant.HTTPAuthorityFilter, authorityFilterFunc()) } func authorityFilterFunc() context.FilterFunc { return
filter过滤器实现权限访问控制以及同一账号只能登录一台设备
u013068184的博客
07-20 1万+
需求:如题目所意,未登录用户不能浏览访问项目内部的资源,对访问的请求和响应进行拦截,且一个用户只能在一台设备登录。 权限访问控制功能可以通过过滤器或者拦截器去实现,在这里我用的是过滤器,过滤器可以过滤全部action请求,拦截器则更有针对性,对某一请求进行特定处理。 filter过滤器知识梳理: Filter也称之为过滤器,它是Servlet三大器之一(另外两个为监听器和拦截器)。通过Fil...
java filter 登陆访问_java中使用Filter控制用户登录权限具体实例
weixin_29997657的博客
02-13 182
public class LoginFilter implements Filter {private String permitUrls[] = null;private String gotoUrl = null;public void destroy() {// TODO Auto-generated method stubpermitUrls = null;gotoUrl = null;}...
java url权限控制_java的权限过滤。基于java的过滤器。检查URL权限允许或不允许。...
weixin_29735075的博客
02-16 287
The authority filter for JAVA.Based JAVA's Filter.Check the url permission is allowed or not.基于java 过滤器(Filter)实现对权限控制的框架。Depend on :log4j.jar,fastjson.jar软件由三部分组成:权限过滤器AuthorityFilter # 负责过滤url并执行权限检...
权限管理最佳实践:二,URL权限控制
开源权限管理中间件Ralasafe
09-02 524
-------------------------------------------- 总大纲 --------------------------------- Ralasafe开源有段时间了,大约有2个月了。根据社区的反馈,我打算围绕Ralasafe最佳实践,书写一系列BLOG。   大体内容有: 1, 登录控制: 哪些页面需要登录后才能访问,登录用户名、密码验证,登录转向页...
权限管理框架学习-shrio.ppt
10-13
权限管理框架学习-Shiro 权限管理是系统安全的重要组成部分,Shiro是一个功能强大且灵活的权限管理框架,广泛应用于各种系统中。下面是对Shiro框架的详细介绍: 权限管理的定义 权限管理是指对用户访问系统的控制...
SSMDemo-登录-session验证-权限验证-jsp框架.zip
11-29
SSM框架,增加权限菜单验证,登录验证;数据库为Mysql.....SSM框架,增加权限菜单验证,登录验证;数据库为Mysql.....SSM框架,增加权限菜单验证,登录验证;数据库为Mysql.....
Node.js-nodeJs用户权限管理框架
08-10
在描述中提到的 "nodeJs用户权限管理框架" 主要关注的是如何在Node.js环境中实现用户身份验证(Authentication)和授权(Authorization)的功能。这两者是任何Web应用中的核心安全机制。身份验证是确定用户身份的...
登录验证过滤器
FairyKunKun的博客
06-12 395
在一个JavaWeb项目中,对于某些特殊的资源,需要登录才能使用【结算】、【下载】、【评论】对于类似于这些功能,需要先登录,然后才能使用先检查是否登录如果没有登录,这养的资源不能使用强制登录否则:可以使用之前的做法:如home.jsp资源,需要验证是否登录统一抽取了一个jsp,checkLogin.jsp,需要控制用户是否登录的jsp中使用标签引入/page/mymood/delete.do | Servlet资源 checkLogin...
JavaWEB采用Filter的权限管理
sinat_35010585的博客
09-06 2563
1.权限查看及管理界面代码:   权限查看及管理              ${param.username}的权限是: ${auth.displayName} ${auth.displayName}     2.用户的pojo--User.java: public class User
web.xml 配置Filter
退思园
11-09 1万+
 下面是该Filter的源代码。程序清单:codes/02/2.12/ filterTest/WEB-INF/src/lee/AuthorityFilter.javapublic class AuthorityFilter implements Filter {//FilterConfig可用于访问Filter的配置信息private FilterConfig co
filter配置多个url-pattern和排除个别servlet
热门推荐
hanghangde的博客
05-02 5万+
最近做项目遇到一个Filter需要配置多个url-pattern,上网查了下资料,经测试,现总结下 一、完全错误的方式 Java代码         authority      class>com.util.AuthorityFilterclass>          authority      /pages/cmm/*;/pages/genbill/*    
Filter配置多个URL
Spectre_Host
04-05 920
一、完全错误的方式<filter> <filter-name>authority</filter-name> <filter-class>com.util.AuthorityFilter</filter-class> </filter> <filter-mapping> <filter-name>authority</filter-name>
Spring security (一)架构框架-Component、Service、Filter分析
weixin_34355715的博客
06-17 120
  想要深入spring security的authentication (身份验证)和access-control(访问权限控制)工作流程,必须清楚spring security的主要技术点包括关键接口、类以及抽象类如何协同工作进行authentication 和access-control的实现。 1.spring security 认证和授权流程 常见认证和授权流程可以分成: A user...
Spring Boot实战(九)9.1安全控制Spring Security
qq_40929047的博客
04-24 375
9.1.1 Spring Security 快速入门 1.什么是Spring Security Spring Security是专门针对基于Spring 的项目的安全框架,充分利用了依赖注入和AOP来实现安全功能。 在早期的Spring Security版本,使用Spring Security需要使用大量的XML配置,而本节将全部基于Java配置来实现Spring Security的功能。 安全框...
权限认证实现(责任链模式)
m0_54213686的博客
10-12 1325
笔者在刚开始工作时,接到的一个任务就是实现权限认证流程,我们采用SpringBoot框架外加责任链模式,大致实现思路如下.
Shiro权限管理框架:认证与授权详解
"Shiro权限管理框架详解" Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。本文将深入探讨Shiro框架权限管理中的应用。 1. 权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值