SpringMVC实践笔记-手写简易MVC第二篇之权限

最新推荐文章于 2020-10-14 18:35:24 发布
最新推荐文章于 2020-10-14 18:35:24 发布
阅读量232 收藏
点赞数
分类专栏: Spring 文章标签: spring SpringMVC 权限 自定义框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiqinqinbaobao/article/details/108816076
版权

文章内容输出来源:拉勾教育Java高薪训练营

文章目录

说明

接着上一篇手写简易MVC第一篇,接着为这个框架增加权限的控制功能。
主要是配置请求方法能被哪些用户访问,如果某个用户没有权限则提示没有相应的权限。
这里的实现,直接按用户名进行判断,用户名在代码中硬编码。前端发送URL请求带上username就表示某个用户的访问。

思路说明

  1. 创建权限注解,权限注解在Controller类或者Controller类的method方法上标识
    • 权限注解有个用户名数组,可以配置哪些用户参访问
  2. 在初始化构建Handler时,将请求所能访问的用户记录起来
  3. 在接收用户请求的处理中,再判断前端传过来的用户名参数是否在Handler所记录的用户数据中匹配,匹配的话则放行,不匹配的话则拒绝

实现过程

1. 创建权限注解Security

果在类上声明,则表示此类的所有handler都需要作权限过滤。如果在方法上声明,则表示只有此方法要进行权限过滤。如果某个类有标记,某个方法也有标记,则此方法的权限以方法上的注解配置为准

  • 支持在类、方法上标识,
  • 创建value数组属性,表示多个用户名(必填)
@Documented
@Target({ElementType.TYPE,ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface Security {
    //用户名称数组
    //配置了用户名称,则只能指定的用户访问。
    String[] value();
}
2. 处理器Handler增加访问用户配置

Handler类中增加securityUsers数组属性,表示可以访问此Handler的用户名称集合

public class Handler {
    //表示可以访问的用户名称集合
    private String[] securityUsers;
    //ignore setter/getter
}
3. 前端控制器初始化过程的加载访问用户
  • 在初始化处理器映射器方法initHandlerMapping中加载每个handler的访问用户
private void initHandlerMapping() {
        if(iocMap.isEmpty()) {return;}
        //遍历ioc容器中的所有controllerBean
        for(Map.Entry<String,Object> entry: iocMap.entrySet()) {
            // 获取ioc中当前遍历的对象的class类型
            Class<?> aClass = entry.getValue().getClass();
            //... ignore some codes

            //访问的用户
            String[] securityUsers = null;
            if(aClass.isAnnotationPresent(Security.class)) {
                Security annoation = aClass.getAnnotation(Security.class);
                securityUsers = annoation.value();
            }

            //... ignore some codes

            //设置handler的访问用户
            handler.setSecurityUsers(securityUsers);

            //... ignore some codes
        }
}
4. 前端控制器接收用户请求时判断权限处理
  • doPost中根据当前请求的用户参数username判断是否拥有权限访问(checkSecurity)。如果没有权限访问则输出403 forbidden: user not has permission
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws IOException {
    //根据请求信息获取到相应的handler
    Handler handler = getHandler(req);

    //没有找到,则报404错误
    if(handler == null) {
        resp.getWriter().write("404 not found");
        return;
    }

    //检查访问权限
    if (!checkSecurity(req, resp, handler)) return;

    //... ignore some codes
}

 /**
 * 检查是否拥有权限
 */
private boolean checkSecurity(HttpServletRequest req, HttpServletResponse resp, Handler handler) throws IOException {
    if(handler.getSecurityUsers() != null) {
        //前端的参数,访问的用户
        String username = req.getParameter("username");
        if(null == username || username.length() == 0) {
            resp.getWriter().write("403 forbidden:user not login");
            return false;
        }

        //将handler的用户数据跟前端传递的用户进行匹配
        Optional<String> findOptional = Arrays.stream(handler.getSecurityUsers())
                .filter(row -> username.equals(row))
                .findAny();
        if(!findOptional.isPresent()) {
            resp.getWriter().write("403 forbidden: user not has permission");
            return false;
        }
    }

    return true;
}

测试

  1. 创建Controller的测试类以及测试方法
    在类以及方法上都有标识了@Security。最终以方法配置的用户名为准,即只有xiaoming,xiaodong可以访问。如果xiaohuang访问则会报没权限的错误

在浏览器中通过http://localhost:8080/security_demo/test?username=xiaohuang进行测试

@Controller
@RequestMapping("/security_demo")
@Security({"xiaoming", "xiaohuang"})
public class SecurityDemoController {
    /**
     * 测试
     * URL: /security_demo/test?username=xiaodong
     * @param username 
     * @return
     */
    @RequestMapping("/test")
    @Security({"xiaoming", "xiaodong"})
    public String test(String username) {
        return "Login Success," + username;
    }
}

项目代码

叶子的翅膀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringMVC实践笔记-简易MVC第一篇
菜园里的一只鸟
09-26 189
文章内容输出来源:拉勾教育Java高薪训练营 文章目录说明整体思路实现过程1. 创建web的maven项目**simple_mvc**2. 创建Controller注解3. 创建RequestMapping注解4. 创建处理器类``Handler``5. 创建mvc的配置文件**spring-mvc.properties**6. 创建前端控制器``DispatcherServlet``7. 前端控制器的初始化准备工作8. 前端控制器的请求解析处理9. web.xml进行mvc的配置测试项目代码 说明 .
springmvc学习笔记-springmvc注解开发.zip
05-10
在"springmvc学习笔记--springmvc注解开发.zip"这个压缩包中,我们可以深入探讨Spring MVC的注解驱动开发方式,这是一种简洁且高效的开发模式。 1. **Spring MVC基础**: Spring MVC的核心组件包括...
基于角色和资源的用户权限控制(用SpringMVC实现)
热门推荐
u011277123的博客
04-01 3万+
大龄菜鸟 2017-03-03 19:25 介绍 用户权限控制几乎是每个网站都会涉及到的问题,这不仅是涉及到安全,而且还涉及到用户的体验,例如,某个用户可能只需要用到少数几个模块,那么,我们就不应该将无关的模块显示给他。对于很多的小型网站,可能只需要一个管理员账号和密码就可以了,但对于稍微大一点的网站,都会有一套比较严格的用户权限管理机制。在实现方式方面,常见的有以下几种(只是按经验划
自定义模拟实现springMVC
零一的博客
01-19 265
实现步骤: 加载配置文件 springmvc.properties 扫描相关的类,扫描注解 初始化bean对象(实现ioc容器,基于注解) 实现依赖注入 构造一个HandlerMapping处理器映射器,将配置好的url和Method建立映射关系 具体代码: public class DispatcherServlet extends HttpServlet { private P...
SpringMVC实战中如何权限管理详解
SimpleWu
11-08 6548
1.DispatcherServlet 用用SpringMVC具有统一的入口DispatcherServlet的的,所有的请求都通过的DispatcherServlet的。 DispatcherServlet的是前置控制器,配置在web.xml文件文件中的。拦截匹配的请求,Servlet的拦截匹配规则要自已定义,把拦截下来的请求,依据某某规则分发到目标控制器来处理。所以我们现在的网络.XML中...
如何自定义注解实现简单的权限控制
都市桃源
08-27 2467
为什么需要权限控制?当一个系统建成之后,需要适当的做一些权限控制,使得某些非法用户不能随意更改系统,而允许某些特权用户可以操作系统.一般系统如何实现权限控制?一般系统如果权限较为复杂,可能需要借助一些权限控制框架,例如shiro来实现权限控制,但是shiro过于重,有些系统权限控制较为简单,使用shiro有些杀鸡焉用牛刀了;一些公司的业务较多,但是权限主体相同,这种场景下,一般我们会将权限系统剥离处
SpringMvc 集成 shiro 实现权限角色管理-maven
小程序
06-03 1万+
SpringMvc 集成 shiro 实现权限角色管理 1、项目清单展示 2、项目源码解析  1)spring-context.xml ------spring 父上下文 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-i
springmvc学习笔记-springmvc整合mybatis.zip
05-10
SpringMVC 和 MyBatis 是两个非常流行的 Java 开发框架,它们在企业级 Web 应用开发中被广泛使用。SpringMVC 作为 Spring 框架的一部分,主要用于处理 HTTP 请求,实现 MVC(模型-视图-控制器)设计模式。而 MyBatis...
SpringMVC精品资源--深入解析SpringMVC核心原理:从简易MVC框架开始(SmartMvc).zip
02-18
本资源包"SpringMVC精品资源--深入解析SpringMVC核心原理:从简易MVC框架开始(SmartMvc).zip"旨在帮助开发者深入理解SpringMVC的工作机制,并通过构建一个简单的SmartMvc框架来实践这一过程。 1. **MVC模式...
springmvc学习笔记-前端控制器、上传、异常、开发心得小结等.zip
最新发布
05-10
SpringMVC是Spring框架的一部分,专门用于处理Web应用程序的请求和响应。它是基于模型-视图-控制器(MVC)设计模式的轻量级Web开发工具。本学习笔记将涵盖前端控制器、文件上传、异常处理以及开发过程中的心得小结。...
springmvc学习笔记-返回json的日期格式问题的解决方法
10-20
本篇文章主要介绍了springmvc学习笔记-返回json的日期格式问题的解决方法,解决了日期格式的输出,有兴趣的可以了解一下。
自定义注解,控制权限
CommonBorage
05-15 1217
刚到新公司,发现公司对权限这快做的挺好。记录下来,学习学习 //定义枚举 package com.gtercn.bbt.common; public enum PermissionEnum { /*系统管理*/ SYS_MANAGER("00"), /*账号管理*/ ACT_MANAGER("0001"), /*账号添加*/ ACT_MANAGER_ADD("000101")
@Transactional注解
ChengZi~
11-10 904
@Transactional注解1、自定义注解2、配置类3、定义切面类4、事务工具类5、Service层6、Dao层7 测试类8 思考与问题    1、自定义注解 @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface ExtTransaction...
Spring源码深度解析(郝佳)-学习-源码解析-基于注解bean定义(一)
黄裳博客
10-14 469
xxxxxxxxxxxx
尝试一个注解框架
weixin_34128411的博客
11-30 303
引言 前两天在掘金上看到一篇文章: 一个小需求引发的思考。 需求是根据多个EditText是否有输入的值来确定Button是否可点击。很常见的一个需求吧,但是要怎么做到简单优雅呢?文章里也有讲到封装的过程,这里我就不细讲了。最后作者封装成了用注解就可以做到。但是他全部用的反射,反射技术对APP性能影响还是很大的,作者最后也提到想使butterknife使用的技术。用大家都知道著名的注解框架 but...
java annotation + springMVC 实现用户角色权限管理
zhouzhiwengang的专栏
02-28 6326
场景描述:现在需要对部分Controller或者Controller里面的服务方法进行权限拦截。如果存在我们自定义的注解,通过自定义注解提取所需的权限值,然后对比session中的权限判断当前用户是否具有对该控制器或控制器方法的访问权限。如果没有相关权限则终止控制器方法执行直接返回。有两种方式对这种情况进行处理。 常用的权限系统设计模式是以角色为核心的,即角色是具有相同权限的一类
springmvc实现权限控制
Thankdj
03-28 4108
大体思想:当系统启动的时候会将所有权限信息加入到Map集合,URL作为key,有此权限访问该URL的角色作为value;然后具体某个用户登录的时候会首先获取其对应的角色,存到session中;当该用户访问某个具体的URL时会进行角色判断其是否由此权限进行访问。实现过程:1.定义拦截器(springmvc-servlet.xml)&lt;!-- 定义拦截器,判断登陆 --&gt; &lt;mvc:i...
Spring系列之注解与配置文件的解析
weixin_33800593的博客
12-27 138
目录 Spring系列之IOC的原理及动实现 Spring系列之DI的原理及动实现 Spring系列之AOP的原理及动实现 Spring系列之注解与配置文件的解析 Spring系列之一个SpringMVC 引入 在前面我们已经完成了IOC,DI,AOP的实现,基本的功能都已经完成了,我们的框架也能勉强使用起来。为了让我们的框架能够使用起来比较简单,这一节我们来实现注解和xml...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值