oa_14

最新推荐文章于 2023-10-29 20:48:58 发布
最新推荐文章于 2023-10-29 20:48:58 发布
阅读量91 收藏
点赞数
分类专栏: 尚学堂 oa 文章标签: Java Servlet Spring SQL JSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxp3369/article/details/83336209
版权
利用JSTL函数实现即时认证
- SecurityFunctions.java
- my.tld
- 注意,因为SecurityFunctions需要用到aclManager,所以,需要注入此对象
- 在InitServlet中,将一些变量CREATE/READ/UPDATE/DELETE放入application scope
以便于在JSP中使用它来表示操作类型
- 在AclManager中添加
public boolean hasPermissionByResourceSn(int userId,String reourceSn,int permission);
接口,以便于在JSP中使用JSTL函数来进行即时认证 


package com.bjsxt.oa.web;

import com.bjsxt.oa.manager.AclManager;

/**
 * JSTL函数,主要功能是可以完成权限的即时认证
 * @author Administrator
 *
 */
public class SecurityFunctions {

	private static AclManager aclManager;

	public static boolean hasPermission(int userId,String resourceSn,int permission){

		return aclManager.hasPermissionByResourceSn(userId, resourceSn, permission);
	}

	//这个方法不能定义为static,因为这将导致spring无法注入
	public void setAclManager(AclManager aclManager) {
		SecurityFunctions.aclManager = aclManager;
	}
}



<?xml version="1.0" encoding="UTF-8" ?>

<taglib xmlns="http://java.sun.com/xml/ns/j2ee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-jsptaglibrary_2_0.xsd"
  version="2.0">

  <tlib-version>1.0</tlib-version>
  <short-name>my</short-name>
  <uri>http://www.bjsxt.com/oa/functions</uri>

  <function>
    <name>hasPermission</name>
    <function-class>com.bjsxt.oa.web.SecurityFunctions</function-class>
    <function-signature>boolean hasPermission(int, java.lang.String,int)</function-signature>
  </function>
</taglib>



package com.bjsxt.oa.web;

import java.util.Date;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;

import org.apache.commons.beanutils.ConvertUtils;

import com.bjsxt.oa.manager.Permission;

public class InitServlet extends HttpServlet {

	@Override
	public void init() throws ServletException {

		//注册日期类型的转换器
		ConvertUtils.register(new UtilDateConverter(), Date.class);

		ServletContext sc = getServletContext();
		sc.setAttribute("CREATE", Permission.CREATE);
		sc.setAttribute("READ", Permission.READ);
		sc.setAttribute("UPDATE", Permission.UPDATE);
		sc.setAttribute("DELETE", Permission.DELETE);
	}

}



package com.bjsxt.oa.manager.impl;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import java.util.Set;

import com.bjsxt.oa.manager.AclManager;
import com.bjsxt.oa.manager.Permission;
import com.bjsxt.oa.model.ACL;

public class AclManagerImpl extends AbstractManager implements AclManager {

	public void addOrUpdatePermission(String principalType, int principalId,
			int moduleId, int permission, boolean yes) {

		//查找ACL对象
		ACL acl = findACL(principalType, principalId, moduleId);

		//能够找到ACL对象,更新permission
		if(acl != null){
			acl.setPermission(permission, yes);
			getHibernateTemplate().update(acl);
			return;
		}

		//找不到ACL对象,则创建ACL对象,并更新permission
		acl = new ACL();
		acl.setPrincipalType(principalType);
		acl.setPrincipalId(principalId);
		acl.setModuleId(moduleId);
		acl.setPermission(permission, yes);
		getHibernateTemplate().save(acl);
	}

	public void addOrUpdateUserExtends(int userId, int moduleId, boolean yes) {
		ACL acl = findACL(ACL.TYPE_USER,userId,moduleId);
		if(acl != null){
			acl.setExtends(yes);
			getHibernateTemplate().update(acl);
			return;
		}
		acl = new ACL();
		acl.setPrincipalType(ACL.TYPE_USER);
		acl.setPrincipalId(userId);
		acl.setModuleId(moduleId);
		acl.setExtends(yes);
		getHibernateTemplate().save(acl);
	}

	public void delPermission(String principalType, int principalId,
			int moduleId) {
		getHibernateTemplate().delete(findACL(principalType, principalId, moduleId));
	}

	public boolean hasPermission(int userId, int moduleId, int permission) {

		//根据用户标识和模块标识查找授权记录
		ACL acl = findACL(ACL.TYPE_USER,userId,moduleId);

		//有授权记录
		if(acl != null){
			int yesOrNo = acl.getPermission(permission);

			//如果是确定的授权
			if(yesOrNo != ACL.ACL_NEUTRAL){

				//立刻返回,无需继续查找
				return yesOrNo == ACL.ACL_YES ? true : false;
			}
		}

		//继续查找用户拥有的角色的授权

		//查找分配给用户的角色,按优先级从高到低排序
		String hql = "select r.id from UsersRoles ur join ur.role r join ur.user u " +
				"where u.id = ? order by ur.orderNo";
		List roleIds = getHibernateTemplate().find(hql,userId);

		//依次根据角色标识和模块标识查找授权记录
		for (Iterator iterator = roleIds.iterator(); iterator.hasNext();) {
			Integer rid = (Integer) iterator.next();
			acl = findACL(ACL.TYPE_ROLE, rid, moduleId);
			if(acl != null){
				return acl.getPermission(permission) == ACL.ACL_YES ? true : false;
			}
		}

		return false;
	}

	public boolean hasPermissionByResourceSn(int userId, String resourceSn, int permission) {

		String hql = "select m.id from Module m where m.sn = ? ";

		return hasPermission(
				userId,
				(Integer)getSession().createQuery(hql).setParameter(0, resourceSn).uniqueResult(),
				permission);
	}	

	public List searchModules(int userId) {

		//查找用户拥有的角色,并按优先级从低到高排序
		String hql = "select r.id from UsersRoles ur join ur.role r join ur.user u " +
			"where u.id = ? order by ur.orderNo desc";
		List roleIds = getHibernateTemplate().find(hql,userId);

		Map temp = new HashMap();

		//依次查找角色的授权(ACL对象)
		for (Iterator iterator = roleIds.iterator(); iterator.hasNext();) {
			Integer rid = (Integer) iterator.next();
			List acls = findRoleAcls(rid);
			for (Iterator iterator2 = acls.iterator(); iterator2.hasNext();) {
				ACL acl = (ACL) iterator2.next();
				temp.put(acl.getModuleId(), acl);
			}
		}

		//针对用户查找有效的用户授权
		List acls = findUserAcls(userId);
		for (Iterator iterator = acls.iterator(); iterator.hasNext();) {
			ACL acl = (ACL) iterator.next();
			temp.put(acl.getModuleId(), acl);
		}

		//去除掉那些没有读取权限的授权记录
		Set entries = temp.entrySet();
		for (Iterator iterator = entries.iterator(); iterator.hasNext();) {
			Map.Entry entry = (Map.Entry) iterator.next();
			ACL acl = (ACL)entry.getValue();
			if(acl.getPermission(Permission.READ) != ACL.ACL_YES){
				iterator.remove();
			}
		}

		if(temp.isEmpty()){
			return new ArrayList();
		}

		String searchModules = "select m from Module m where m.id in (:ids)";

		return getSession()
			.createQuery(searchModules)
			.setParameterList("ids", temp.keySet())
			.list();

	}

	public List searchAclRecord(String principalType,int principalId){
		String sql = "select moduleId,aclState&1,aclState&2,aclState&4,aclState&8,aclTriState " +
		"from t_acl where principalType = '"+principalType+"' and principalId = "+principalId;
		return getSession().createSQLQuery(sql).list();
	}

	/**
	 * 查找授权记录,如果找不到,返回空值
	 * @param principalType
	 * @param principalId
	 * @param moduleId
	 * @return
	 */
	private ACL findACL(String principalType,int principalId,int moduleId){
		return (ACL)getSession().createQuery(
				"select acl from ACL acl where acl.principalType = ? " +
				"and acl.principalId=? and acl.moduleId = ?")
				.setParameter(0, principalType)
				.setParameter(1, principalId)
				.setParameter(2, moduleId)
				.uniqueResult();
	}

	private List findRoleAcls(int roleId){
		return getHibernateTemplate().find(
				"select acl from ACL acl where acl.principalType = ? " +
				"and acl.principalId = ?",
				new Object[]{ACL.TYPE_ROLE,roleId}
			);
	}

	private List findUserAcls(int userId){
		return getHibernateTemplate().find(
				"select acl from ACL acl where acl.principalType = ? " +
				"and acl.principalId = ? and acl.aclTriState = ? ",
				new Object[]{ACL.TYPE_USER,userId,ACL.ACL_TRI_STATE_UNEXTENDS}
			);		
	}

}
xxp3369
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易宝OA_UploadFile接口任意文件上传漏洞
weixin_43567873的博客
03-28 227
易宝OA_UploadFile接口任意文件上传漏洞
O2OA框架使用笔记
codeLife
10-16 1160
官网 http://www.o2oa.net/ 官方论坛:http://forum.o2oa.net/x_desktop/forum.html?app=Forum 用户名:Python.Java/15631590188 密码:testo2oa 下载 客户端 Linux-86:http://download.o2oa.net/download/o2server-5.2.1-linux-x86.zip **Windows:**http://download.o2oa.net/download/o2s
linux oa软件安装步骤,Ecology_OA_for_Linux安装手册
weixin_34634231的博客
05-03 871
目录一、Linux操作系统安装 (3)1、服务器硬件配置 (3)2、Linux操作系统安装步骤及注意事项 (3)二、安装Oracle 9i for Linux (5)(1)、安装软件包 (5)(2)、上传Oracle 9i for Linux安装源程序 (5)(3)、解压Oracle安装文件 (5)(4)、创建oracle用户组(dba、oinstall)和用户(oracle) (6)(5)、以o...
通达OA_header_inc任意用户登录
Bnessy
10-29 249
【代码】通达OA_header_inc任意用户登录。
JAVAOA用到手机_GitHub - leqixiaozi/yimioa: 一米OA,做开发者最容易上手的企业管理快速开发平台,持续研发14年,基于JAVA开发,PC端、手机端均开源,SSM框架易...
weixin_36287955的博客
02-25 215
云网OA,基于OA的快速开发平台介绍目标:做最容易上手的低代码开发平台。基于JAVA构建,开放了java代码,提供免费培训!坚持14年研发,云网OA已成长为成熟的“企业应用快速开发平台”。一键安装版下载地址:百度网盘:https://pan.baidu.com/s/1h426KgaKlGQAAcEu6gv46A提取码:j1b7软件架构基于JAVA开发,支持MySQL/Oracle/SQLServe...
致远oa mysql 安装_致远OA协同办公系统OA安装步骤.doc
weixin_30624835的博客
01-28 2792
安装ORCL创建V3XSPACE表空间1)用脚本创建(CREATE SMALLFILE TABLESPACE "V3XSPACE"DATAFILE'd:\v3xfile' SIZE 100M AUTOEXTEND ON NEXT 2000K MAXSIZE UNLIMITED LOGGING EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGEMENT AUTO...
致远OA漏洞复现
热门推荐
混子
12-31 5万+
近段时间,Log4j2比较热,像极了XSS到处插,插完,dnslog就可能会给你满意的答案,有的安全人员已经整出了burp Log4j2的插件,想必小伙伴们都用过了,也是相当巴适。在这个热度居高不下的情况下,有人发现了致远OA也存在该漏洞,抱着试试的想法,尝试了下,真香。趁着Log4j2的机会,就把致远OA的历史漏洞复现一下,并写了批量url检测是否存在以下漏洞(https://github.com/Xd-tl/Seeyon_POC)
通达OA表单会签意见样式
通达OA二次开发 联系QQ2524837118
04-21 969
样式一 <td colspan="7" height="53" class="hq" style="text-align: left; border-width: 1px; border-style: solid; padding: 10px;border-color: rgb(0, 0, 0); word-break: break-all;"> #[MACRO_SIGN][ <div class="yj...
mysql oa数据库设计_OA项目1:环境搭建之数据库创建与环境添加
weixin_28835789的博客
02-01 314
首注:本学习教程为传智播客汤阳光讲师所公布的免费OA项目视频我的文字版实践笔记,本人用此来加强巩固自己开发知识,如有网友转载,请注明。谢谢。一 指定数据库:Mysqldatabase:oa建库语句:create database oa default character set utf8二 指定ide开发工具:MyEclipse项目名称:新建web工程,名字为:OA,并设置项目工程编码:u...
致远OA文件上传漏洞(含批量检测POC)
今天是几号的博客
03-21 1万+
由于致远OA旧版本某些接口存在未授权访问,以及部分函数存在过滤不足,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3。致远OA A6、A8、A8N (V8.0SP2,V8.1,V8.1SP1)致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3。致远OA G6、G6N (V8.1、V8.1SP1)。致远OA V6.0、V6.1SP1、V6.1SP2。致远OA V7.1、V7.1SP1。
oa.zip_PHP OA
09-23
14. **性能优化**:OA系统可能涉及缓存策略、数据库查询优化、负载均衡等手段,以提升系统响应速度和并发处理能力。 15. **测试与部署**:包括单元测试、集成测试、性能测试,以及持续集成/持续部署(CI/CD)流程,...
abon_oa_代码需求1
08-08
14. **命名规范**:数据库表名、字段名及代码中的所有命名遵循一致的规则,提升代码可读性。 15. **Laravel中间件**:灵活运用Laravel的中间件机制,用于处理权限控制、请求过滤等任务。 16. **访问修饰符**:理解...
OA_ICESat2_guide.pdf
12-23
OA_ICESat2_guide.pdf》使用说明详细解读 该文档是关于如何使用开放测高系统(OpenAltimetry)的指南,特别是针对ICESat-2(冰川卫星2号)的数据处理和分析。ICESat-2是美国国家航空航天局(NASA)发射的一颗卫星...
蓝凌OA产品V14系统安装维护手册.chm
07-04
蓝凌OA产品V14系统安装维护手册.chm
泛微OA数据库相关问题处理
02-27
14. ORACLE 数据库监听问题 在ORACLE数据库中,监听问题可能会导致数据库的连接问题。解决这个问题可以使用LISTENER.ORA文件,例如: ```bash LISTENER = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = ...
基于python开发的居民区电动汽车TOPSIS有序充电仿真+源码解析+项目文档+仿真(毕业设计&课程设计&项目开发)
最新发布
08-06
基于python开发的居民区电动汽车TOPSIS有序充电仿真+源码解析+项目文档+仿真,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档~ 项目简介: "Simulation.md" 为代码解析说明文档 "仿真过程.py" 为仿真过程代码 "cargo.txt" 为随机生成的电动汽车出行数据,格式为[离开时间,回来时间,是否出行,剩余电量百分比],其中是否出行 1表示出行,0表示不出行 "cargo.py" 为生成电动汽车出行数据代码 "carimf.txt" 为电动汽车信息初始化数据,格式为[序号,电池容量,慢充时间,最大行驶里程,慢充每15分钟增加电量百分比] "price.txt" 为时间价格表,格式为[时间,时段,电价],其中,时段1表示峰时,时段2表示谷时,时段3表示平时 "drawpic.py" 为绘图函数 "小区居民日常负荷数据.txt" 为通过蒙特卡洛方法生成的小区居民日常负荷数据,格式为[时间,负荷]
【流程管理】LTC流程介绍.pptx
08-06
【流程管理】LTC流程介绍.pptx
libmavsdk-server.so-debug-202408062018-wk-proto-ok
08-06
libmavsdk_server.so_debug_202408062018_wk_proto_ok
信息安全lsClssify-mas笔记
08-06
信息安全lsClssify-mas笔记
LemonOA数据库结构详解
14. `BPM_CONF_FORM` 配置流程使用的表单信息。 15. `BPM_CONF_OPERATION` 管理流程中的操作,如审批、驳回等。 16. `BPM_CONF_NOTICE` 配置流程提醒规则。 17. `BPM_CONF_COUNTERSIGN` 处理流程中的会签配置。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值