登录拦截兄弟篇权限拦截

最新推荐文章于 2024-03-22 13:00:27 发布
最新推荐文章于 2024-03-22 13:00:27 发布
阅读量1.1k 收藏
点赞数 8
分类专栏: java 文章标签: java spring session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46763029/article/details/106502503
版权

权限拦截

思路解析

一.阅读本篇之前,可以先提前了解小编在之前写过的登录拦截的那篇博客。有助于更好的理解本篇权限拦截。
二.权限拦截思路解析:获取用户访问路径uri
1.首先遍历所有的权限判断其中是否包含该uri,如果不包含则不需要拦截(比如:userController/login )比如这个登录方法的路径访问时就不需要拦截,即我们只拦截所有权限里的路径,因此在数据库编写路权限径时注意区分大小写,及不能漏掉要拦截的权限路径。如果包含则需要判断该用户是否有对应权限。
2.当所有的权限包含该uri时,判断该用户的权限列表是否有对应权限。如有则说明该用户访问的路径他有权利去访问和之后的相关操作,不需要拦截。如果用户权限列表没有该uri说明用户不具备此权限,需要拦截该用户。
3.当需要拦截该用户时,就和登录拦截很相似,需要判断是不是ajax请求并返回相应提示信息给用户。

准备工作

如上所述,权限拦截需要如下“工具”:
1.permissionListAll 所有的权限列表

public List<Permission> queryPermissionList() {
		return permissionRepository.findAll();
	}

通过JpaRepository接口自带的查询方法查出所有权限列表。

2.permissionListByUserId 用户的权限列表

@Query(nativeQuery = true,value = "select DISTINCT tp.* FROM t_user_role_new tur LEFT JOIN t_role_permission_new trp ON tur.roleId = trp.roleId LEFT JOIN t_permission_new tp on trp.permissionId = tp.id where tur.userId = ?1")
	List<Permission> findPermissionListByUserId(Integer userId);

为了提高性能小编是通过三表联查获得用户权限:通过用户id查询,用户_角色关联表左联角色_权限关联表左联权限表,通过三表联查查询到该用户id对应的所有权限。

3.String uri = request.getRequestURI(); 用户访问的地址栏路径。(URI,统一资源标志符(Uniform Resource Identifier, URI),表示的是web上每一种可用的资源,如 HTML文档、图像、视频片段、程序等都由一个URI进行定位的。)

具体实现

新建一个PermissionInterceptor基础HandlerInterceptorAdapter并重写preHandle方法。

package com.fh.interceptor;

import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang3.StringUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.fh.model.Permission;
import com.fh.util.JsonUtil;

public class PermissionInterceptor extends HandlerInterceptorAdapter{

	@SuppressWarnings("unchecked")
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		HttpSession session = request.getSession();
		/*
		 * 登陆成功后login方法已经将permissionListByUserId,
		 * permissionListAll放入session里,所以我们只需要从session中取出即可
		 */
		List<Permission> permissionListByUserId = (List<Permission>) session.getAttribute("permissionListByUserId");
		List<Permission> permissionListAll = (List<Permission>) session.getAttribute("permissionListAll");
		
		String uri = request.getRequestURI();// 类似于userController/addUser
		
		if(StringUtils.isBlank(uri)) {//如果uri为空则不需要拦截
			return true;
		}
		boolean contains = false;
		/*
		 * 立一个flag(contains) 若flag(contains)为true表明所有权限包含该uri,
		 * 一旦包含即可break提高代码性能。
		 */
		if(permissionListAll != null && permissionListAll.size() > 0) {
			for (Permission permission : permissionListAll) {
				if(StringUtils.isNotBlank(permission.getUrl()) && uri.contains(permission.getUrl())) {
					contains = true;
					break;
				}
			}
		}
		if(contains == false) {//若flag(contains)为false表明所有权限列表如果不包含则不需要拦截
			return true;
		}else {//表明所有权限permissionListAll包含该uri,就需要进一步验证用户权限是否包含
			boolean hasPermission = false;
			/*
			 * 当所有的权限包含该uri时,判断该用户的权限列表是否有对应权限。
			 * 如有则说明该用户访问的路径他有权利去访问和之后的相关操作,不需要拦截。
			 * 如果用户权限列表没有该uri说明用户不具备此权限,需要拦截该用户。
			 * 
			 */
			if(permissionListByUserId != null && permissionListByUserId.size() > 0) {
				for (Permission permission : permissionListByUserId) {
					if(StringUtils.isNotBlank(permission.getUrl()) && uri.contains(permission.getUrl())) {
						hasPermission = true;
						break;
					}
				}
			}
			if(hasPermission == true) {//在permissionListAll里边,且有用户权限。允许用户访问。
				return true;
			}else {//用户权限列表没有该uri说明用户不具备此权限,需要拦截该用户
				String header = request.getHeader("X-Requested-With");
				//根据请求头部判断是不是ajax请求
				if(StringUtils.isNotBlank(header) && header.equals("XMLHttpRequest")) {
					//是ajax请求就要给前端页面一个信号,在前端页面判断后可以再弹出提示信息,跳到指定页面
					Map<String, Object> result = new HashMap<String, Object>();
					result.put("code", 2000);
					JsonUtil.outJson(response, result);
				}else {//不是ajax请求可以直接重定向到指定页面
					response.sendRedirect(request.getServletContext().getContextPath()+"/no-permission.jsp");
				}
				return false;
			}
		}
		
	}
}

springMVC.xml配置

<mvc:interceptor>
				<mvc:mapping path="/**" />
				/*
				*配置白名单,放开静态资源
				*/
				<mvc:exclude-mapping path="/js/**" />
				<mvc:exclude-mapping path="/bootstrap/**" />
				
				<bean class="com.fh.interceptor.PermissionInterceptor"></bean>
</mvc:interceptor>

写在最后

本篇为小编和人理解所作,如有错误请联系小编进行修改或删除。

never-ljy
关注
  • 8
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue实现登录拦截
10-15
主要介绍了vue实现登录拦截
SpringBoot自定义拦截器实现权限过滤功能(基于责任链模式)
jike11231的博客
06-04 2105
项目采用Spring Boot 2.7.12 + JDK 8实现,权限认证就是一个拦截的过程,所以在实现的时候理论上可以做到任意的配置,对任意接口设置任意规则。考虑到鉴权是一系列顺序执行,所以使用了责任链模式进行设计和实现。
权限拦截如何实现
weixin_46942139的博客
05-21 1522
实现权限拦截需要五张表分别是:用户表,角色表,用户角色表,权限表,角色权限表。 这五张表的关系是:用户和角色是多对多,角色和权限是多对多。 权限拦截拦截的什么呢? 如果你给这个用户赋予了权限,这个则不需要拦截。所以拦截的是用户的权限。 梳理完关系之后,我们就开始说如何实现。 ...
Spring Boot GraphQL拦截权限验证以及异常拦截封装
最新发布
Demon_Hao的博客
03-22 403
GraphQL 拦截权限验证和异常拦截封装是在 GraphQL 服务中常见的一种需求,用于保护 GraphQL 接口免受未经授权的访问,并提供友好的错误信息处理。
自定义权限管理:登录拦截
smart_an的专栏
12-21 343
在大家的印象中,对于一个系统而言,需要登录的接口占多数还是不需要登录的接口占多数呢?答案是不一定。如果是后台接口,那么基本都是要登录的,而对于前台接口或者APP,那就有可能五五开了。比如很多APP都提供了游客模式,下载APP能浏览一些问题和回答,但要发表文章或评论时,就会提醒你登录。为什么要问这个问题呢?具体选哪种,取决于你的系统属于哪种。本文假定大部分接口无需登录,只对部分接口做限制。代码几乎一样,大家可以自己改改。这里只贴出核心代码,一切工具类封装请参考小册其他章节。
用户权限拦截
tianruine的博客
06-05 414
在后端创建每个用户信息的时候都有一个leaval的权限属性,通过这个leaval来确定这个用户是一个adminy用户还是一个管理员用户,此时返回一个403状态码,我们可以通过这个状态码,来弹出一个用户权限不足的提示,402token失效1.不同用户返回不同的侧边栏后端通过用户返回一个接口,这个接口里面显示侧边栏信息不同,例如A用户,通过后端接口只返回下面的权限 上面这种方法只是让功能权限不在页面上显示,但是如果用户记住了路径信息的话,在地址上写入路径信息还是能够访问到的,因此在路由上还需要配置,也
springboot+springmvc实现登录拦截
08-25
主要介绍了springboot+springmvc实现登录拦截,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
struts2 用拦截器 实现用户权限登录
11-14
struts2 用拦截器 实现用户权限登录 可以直接运行,只单单用到struts的东西。 struts2 用拦截器 实现用户权限登录 可以直接运行,只单单用到struts的东西。
Android使用AOP做登录拦截
08-23
常见App中有两大类,一类是需要通过登录才能进入的App,另一类是不用登录,但是使用相关功能过程中需要登录后才能操作。那么第二类我们常见的做法就是,每次点击按钮的时候去用逻辑判断来实现,这样大大的增加了工作...
SpringBoot登录拦截配置详解(实测可用)
08-18
主要介绍了SpringBoot登录拦截配置详解(实测可用),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
拦截器实现权限管理
11-18
拦截器实现权限管理,没与数据库交互,不过原理差不多了
PHP笔记-用户登录&权限拦截说明
IT1995的博客
03-07 737
这里给出的是一个很常用的权限拦截例子,也是目前主流的方法,但存在cookie劫持,有安全风险。后面有博文说如何去解决。 对应的权限登录的类是这样的: class PrivilegeController extends Controller { ...... ...... ...... } 其中权限是在Controller类中,如下: class Controller{ protected $smarty; public function __construct(){
RABC 权限拦截设置
ytsydmx的博客
03-28 7684
1 RABC 是什么? rabc 是一种用于设计权限的一种思想,流程图如下 2 硬编码实现的思想 RABC 主要有user 用户表,role角色表,permission权限表,以及role-permission和user-role的中间关联表,但是实际上对于一般的需求,我们可以只使用user用户表, 里面存储字段标识 角色信息,然后在代码层面进行编码方式 使用enum枚举出所有角色表,使用 权限注解标识方法,将权限注解与方法进行一个绑定,其中权限里面包括(角色)信息,通过拦截进行拦截权限进行筛选。
springboot接口拦截器(HandlerInterceptor实现)
qq_36138652的博客
03-20 3146
注意点:只限于参考,并非是工具类,因为文章代码少了代码 一、实现HandlerInterceptor接口 @Component public class LoginInterceptor implements HandlerInterceptor { private static final Logger log = LoggerFactory.getLogger(LoginInterceptor.class.getName()); @Autowired private Us
springboot基于拦截器实现登录权限拦截
IT小跟班
03-26 4176
一、需求 系统中,除登录接口/login以外,其他所有接口,必须用户登录后才能访问。 二、实现 创建一个拦截器,拦截除/login以外的所有请求,校验用户是否已登录,如果已登录,则放行,否则拦截请求,给出未登录信息提示。 创建LoginInterceptor类,实现HandlerInterceptor接口,重写preHandle方法 package com.yclouds.servic...
一 注册功能&登录功能,权限拦截
weixin_30925411的博客
02-28 313
注册功能: 前端JSP:提供表单注册信息以及访问路径,发送请求到Strus2。 Struts2 : 通过模型驱动接收并封装User对象,Spring依赖注入(无参构造+setter方法)获取业务层UserService,通过集成ActionSupport类获取Excute方法,在这个方法里面操作值栈,实现业务功能,请求跳转。 service : 通过属性注入(无参构造+setter方法)...
兄弟连Linux(六)--权限管理
alaflamingo的博客
10-24 583
1、ACL权限 1.1 ACL权限简介与开启 1.1.1 ACL权限简介        专门用于解决属主、属组、其他人无法解决的复杂权限问题 1.1.2 查看分区ACL权限是否开启        $ dumpe2fs -h /dev/sda3       dump2fs命令是查询指定分区详细文件系统信息的命令               -h    仅显示超级块中信息,而不显示磁盘...
登录 拦截
shiqinghuan的博客
07-27 204
实现登录功能: @Controller public class LoginController { @PostMapping(value = "/user/login") public String login( @RequestParam("username") String username, @RequestParam("password") String password, Model model, Http
springmvc使用拦截器实现用户登录权限验证
01-06
SpringMVC使用拦截器可以很方便地实现用户登录权限验证。 首先,我们可以创建一个实现HandlerInterceptor接口的拦截器类,该类可以在请求处理前或处理后执行特定的操作。在拦截器类中,我们可以实现preHandle方法来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值