struts2利用异常处理实现权限控制的两种方法

实现权限控制较常用的有shiro，shiro一般用于方法级别的松散权限控制，这种权限控制的原理是基于权限判断后抛出异常，比如checkPermission("wage:listself")，是校验权限串wage:listself，如果没有该权限，则抛出异常，比如checkRole("超级用户")，是校验角色，如果没有该角色也会抛出异常，这些都可以改为基于注释的形式应用于方法上。此时，可以通过进行异常的处理，来将页面导向到提示未授权的页面。而struts2中异常处理可以有两种方式，一种是在struts.xml中配置异常处理。另一种是通过自定义一个拦截器，来处理异常。下面是核心代码：

第一种：注意global-results必须在前

	<package name="banit-default" extends="struts-default">
		<global-results>
			<result name="UnauthorizedException">/unAuthorized.jsp</result>
		</global-results>
		<global-exception-mappings>
			<exception-mapping result="UnauthorizedException"
				exception="org.apache.shiro.authz.UnauthorizedException"></exception-mapping>
			<exception-mapping result="UnauthorizedException"
				exception="org.apache.shiro.authz.AuthorizationException"></exception-mapping>
		</global-exception-mappings>
	</package>

第二种：

	<package name="banit-default" extends="struts-default">
		<interceptors>
			<interceptor name="exceptionInterceptor"
				class="cn.banit.lycz.web.ExceptionInterceptor" />
			<!-- 定义一个拦截器栈 -->
			<interceptor-stack name="myInterceptor">
				<interceptor-ref name="exceptionInterceptor" />
				<interceptor-ref name="defaultStack" />
			</interceptor-stack>
		</interceptors>
		<default-interceptor-ref name="myInterceptor" />
	</package>

ExceptionInterceptor：

public class ExceptionInterceptor extends AbstractInterceptor {
	@Override
	public String intercept(ActionInvocation arg0) throws Exception {
		try {
			arg0.invoke();
		} catch (UnauthorizedException e) {
			String contextPath = ServletActionContext.getRequest().getContextPath();
			ServletActionContext.getResponse().sendRedirect(
					contextPath + "/unAuthorized.jsp");
		} catch (Exception e) {
			System.err.println("Exception:" + e.getLocalizedMessage());
		}
		return null;
	}
}

如果同时做了两种异常处理，那么只有一种生效，异常一旦拦截，就不会继续传播。