《权限控制系列3》----利用拦截器匹配URL

最新推荐文章于 2022-08-24 03:21:20 发布
最新推荐文章于 2022-08-24 03:21:20 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: 1、JavaEE 文章标签: 界面 细粒度权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoukun1008/article/details/55061057
版权

前言

  • 权限的粒度可以细细的划分,甚至可以划分到代码中的每个方法上面,只要用户没有权限访问某个CRUD的方法,我们可以将其拦截。

总体思路

  • 添加全局的拦截器,拦截用户的请求,判断用户是否有请求此方法的权限,若用户有权限,则放行,若用户没有权限,则拦截,提示用户没有权限使用此功能。

自定义注解代码

@Retention(RetentionPolicy.RUNTIME)
public @interface AnnotationLimit {
    String mid();
    String pid();
}

拦截器代码

public class ErrorAndLimitInterceptor extends MethodFilterInterceptor {

    /**拦截器*/
    @Override
    protected String doIntercept(ActionInvocation actioninvocation) throws Exception {
        //把自定义错误信息 放置到request中
        HttpServletRequest request = (HttpServletRequest) actioninvocation
                        .getInvocationContext().get(StrutsStatics.HTTP_REQUEST);
        try {
            //获取请求的action对象
            Object action = actioninvocation.getAction();
            //获取请求的方法的名称
            String methodName = actioninvocation.getProxy().getMethod();
            //获取action中的方法的封装类(action中的方法没有参数)
            Method method = action.getClass().getMethod(methodName, null);
            // Action的返回值   
            String result = null; 
            boolean flag=isCheckLimit(request,method);
            if (flag) {
                //运行被拦截的Action,如果期间发生异常会被catch住
                result=actioninvocation.invoke();
            }else{
                request.setAttribute("errorMsg", "对不起,您没有权限操作此功能");
                return "errorMsg";
            }
            return result;
        } catch (Exception e) {
            /**  
             * 处理异常  
             */
            String errorMsg = "出现错误信息,请查看日志!";
            //通过instanceof判断到底是什么异常类型   
            if (e instanceof RuntimeException) {
                //未知的运行时异常   
                RuntimeException re = (RuntimeException) e;
                //re.printStackTrace();
                errorMsg = re.getMessage().trim();
            }
            /**  
             * 发送错误消息到页面  
             */
            request.setAttribute("errorMsg", errorMsg);

            /**  
             * log4j记录日志  
             */
            Log log = LogFactory
                    .getLog(actioninvocation.getAction().getClass());
            log.error(errorMsg, e);
            return "errorMsg";
        }  
    }


    private boolean isCheckLimit(HttpServletRequest request, Method method) {
        if (method==null) {
            return false;
        }
        //获取当前的登录用户
        ElecUser elecUser=(ElecUser)request.getSession().getAttribute("globle_user");
        if (elecUser==null) {
            return false;
        }

        //获取当前登录用户的角色
        Hashtable<String,String> ht =(Hashtable<String, String>) request.getSession().getAttribute("globle_role");
        if (ht==null) {
            return false;
        }

        //处理注解,判断方法上是否存在注解
        boolean isAnnotationPresent=method.isAnnotationPresent(AnnotationLimit.class);
        //不存在注解
        if (!isAnnotationPresent) {
            return false;
        }

        //存在注解(调用注解)
        AnnotationLimit limit=method.getAnnotation(AnnotationLimit.class);
        //获取注解上的值
        String mid=limit.mid();
        String pid=limit.pid();

        //利用角色ID 注解上的mid pid 查询数据库中该角色是否用于此方法的权限

        boolean flag=false;
        //拦截器中加载spring容器,从而获取Service类,使用Service类查询对应的用户信息
        WebApplicationContext wac = WebApplicationContextUtils.getWebApplicationContext(request.getSession().getServletContext());
        IElecRoleService elecRoleService = (IElecRoleService)wac.getBean(IElecRoleService.SERVICE_NAME);
        if (ht!=null && ht.size()>0) {
            for (Iterator<Entry<String, String>> ite = ht.entrySet().iterator();ite.hasNext();) {
                Entry<String,String> entry=ite.next();
                //获取角色id
                String roleId =entry.getKey();
                flag=elecRoleService.findRolePopedomByID(roleId,mid,pid);
                if (flag) {
                    break;
                }
            }
        }
        return flag;
    }

}

拦截器配置

<interceptors>
   <!-- 声明拦截器 -->
   <interceptor name="errorAndLimitInterceptor" class="com.itheima.elec.utils.ErrorAndLimitInterceptor" />
   <!-- 配置拦截器栈 -->
   <interceptor-stack name="myErrorAndLimitInterceptor">
    <interceptor-ref name="defaultStack" />
      <interceptor-ref name="errorAndLimitInterceptor" >
      <param name="excludeMethods">menuHome,title,left,change,loading,logout,alermStation,alermDevice,showMenu
      </param>
      </interceptor-ref>
   </interceptor-stack>
</interceptors>
<!-- 覆盖底层的拦截器栈 对包中的所有action都有效 -->
<default-interceptor-ref name="myErrorAndLimitInterceptor"/>

在方法上添加权限的注解

@AnnotationLimit(mid="an",pid="am")
    public String home() {
        方法体
        .......
        .......
        return "home";
    }

小结

  • 拦截器中代码的功能是读取方法体上的注解代码,注解代码中存放着访问此方法的权限信息,用户拿到这些权限信息后,再加上自己角色id,然后利用这些信息一块去数据库中检查该用户是否拥有此权限,若有,则放行,反之则拦截。做到这,我们将权限的粒度控制在每个方法上面了,我们再在浏览器中的地址栏中输入Url地址也不会访问到非法页面了。
周坤_66
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
java 拦截 判断url_在拦截中获取 url 路径里面 @PathVariable 的参数值
weixin_33279554的博客
02-26 1033
解决办法Map pathVariables = (Map) request.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);String classId = (String)pathVariables.get("classId");示例接口// 获取某个班级下面的学生列表@RequestMapping("/classes/...
java 拦截 判断url_java-在Spring拦截中获取请求映射对象,以获取实际的url字符串模式...
weixin_35721505的博客
02-26 1051
可能很难解释为什么,但是在这种情况下,我需要获取当前请求的URL的请求URL映射字符串.Like if I have a GET URL as "/Test/x/{number}"I want to get "/Test/x/{number}" not "/Test/x/1"如何在拦截中获取实际声明的url字符串?如果可能的话,我该如何实现解决方法:您可以实现HanderInterceptor来...
JavaWeb第八次:选择+填空+判断
WHT869706733的博客
11-27 3306
单项选择题(共6题,30.0分) 1、下面选项中,用于在web.xml中配置监听的元素是()。(5.0分) A、 <listener-url> B、 <url-listener> C、 <listener> D、 <listener-name> 正确答案: C 2、下列不属于Servlet监听类型的是_________.(5.0分) A、 Servlet上下文监听 B、 Http会话监听 C...
shiro学习笔记——shiro拦截url匹配规则
m0_67402341的博客
08-24 859
过滤url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤。
拦截Filter的url匹配问题/与/*
【欢迎关注公众号:冬瓜白】
07-07 801
今天SpringMVC的时候遇到了中文乱码的问题。 就写了一个拦截来处理,可是在web.xml里面配置后不起作用。 找了半天,才发现是设置的问题, /会自动屏蔽掉.jsp的url,这些资源不会被拦截拦截。 /*则会匹配到所有的url。 <!--乱码过滤--> <filter> <filter-name>encoding</filter-name> <filter-class>com.c
Trocker-crx插件
03-21
这个扩展名是一个电子邮件跟踪拦截,因此名称:Trocker! 跟踪您的电子邮件以了解收件人是否打开了电子邮件真是太棒了,因此不受其影响! Trocker给您后者!它阻止电子邮件跟踪程序的尝试,并且不会让他们跟踪您对...
PHP云人才系统(phpyun) v3.2 build141231.rar
08-29
31:新增:发布简历,系统自动匹配10个相似职位,发布职位,系统自动匹配10个相似简历, 按匹配度排序 32:新增:单页面和新闻类别设为导航 33:新增:个人中心增加“上传作品”操作。 34:新增:HR工具箱 35:...
易语言 茶凉专用模块
05-04
参数 网页地址, 文本型, , URL .参数 ico图标, 文本型, 可空, 图标路径 可空:默认为网页快捷方式图标 .参数 快捷键, 整数型, 可空, CTRL+ALT+? (A=1601 B=1602 C=1603 ...) .子程序 创建线程, 整数型, 公开, 创建一...
vc++ 应用源码包_3
09-15
从fnMyDownload开始,程序首先解析输入的url,拆分为地址,路径,文件名等。然后获取文件头,得到文件大小,然后再下载。重点函数是ThreadDownLoad。下载完之后用FileCombine合并文件。Mydownload.cpp底端的...
spring secuity拦截匹配URL权限(RequestMatcher接口详解)
HD243608836的博客
08-06 1万+
原文格式清晰,转载自:https://www.jianshu.com/p/4f9ee6007213 我们知道spring secuity是控制URL的访问权限的,那么spring secuity是怎样拦截匹配URL,我们先看一个接口RequestMatcher 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是tru...
使用拦截处理通用的Http Header
fang_qiming的博客
12-19 9870
在Web项目中如果我们的后台接口有一套通用的校验规则,假设校验规则放置在Http的Header中,那么我们可以通过ThreadLocal配合拦截来完成通用属性信息的保存 以便后续处理中的使用 例子:规定所有的Http头中必须携带 User-Id 与 Token 来验证用户身份,采用在拦截中间这两个信息绑定到ThreadLocal,以供后续方法使用 代码 1.声明 上下文
Spring 的Servlet拦截匹配规则
pysasuke的博客
02-02 1541
Spring 的Servlet拦截匹配规则
通过拦截拦截访问url获取接口中数据进行日志保存
小屁孩的博客
12-29 1万+
xml配置 web.xml中配置加载路径spring.xml加载文章进行配置加载 因为项目是maven引用加载在.pom中加载所以拦截在底层,父类不能调用子类的方法,新写spring.xml文件拦截进行加载(如下图) > >> HandlerInterceptor概述在SpringMVC 中定义一个Interceptor是比较非常简单,主要有两种方式: 第一种:实现Hand
spring mvc 拦截路径匹配原则
zhou920786312的博客
11-23 2万+
一 案例 <mvc:interceptors> <mvc:interceptor> <!-- 对所有的.do结尾的进行拦截,/**表示/下面任何字段,起初我用/*/*.do后来发现/*不能代表所有的字段,要使用/** --> <mvc:mapping path="/**/*.do" /> <!-- 登录 --&g...
shiro学习笔记四:shiro拦截url匹配规则
chunlulin2540的博客
08-17 1886
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
Url权限匹配方式调优
zhoukun@Fly
06-13 1704
前言 最近一直做权限框架的优化,在此期间优化了不同权限框架的不同代码,有shiro-cas的,还有SpringAop的,现在小编说一下自己在项目中是如何优化权限字符串的匹配过程。 需求 不同的用户对应着不同的角色,不同的角色拥有不同的资源,小编的项目中的资源是一些具体的Url,现在项目中的权限是这么做的,当用户访问某个资源时,系统会拿着目标资源去和该用户拥有的资源一一去匹配,用户的资源是放在List
springmvc拦截,设置不拦截URL
热门推荐
u013905744的专栏
10-24 5万+
对于springmvc,有两种方式配置拦截。 一是实现HandlerInterceptor接口,如 public class MyInterceptor1 implements HandlerInterceptor { //该方法在action执行前执行,可以实现对数据的预处理, // 比如:编码、安全控制等。如果方法返回true,则继续执行action。 @...
springboot mybatis-plus 登录接口
最新发布
09-22
### 回答1: 以下是使用 Spring Boot 和 MyBatis-Plus 实现登录接口的基本步骤: 1. 添加 MyBatis-Plus 和 Spring Security 依赖: ```xml <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.4.2</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建 User 实体类,并使用 @TableName 注解指定对应的数据库表名: ```java import com.baomidou.mybatisplus.annotation.TableName; @TableName("user") public class User { private Long id; private String username; private String password; // getter/setter 略 } ``` 3. 创建 UserMapper 接口,继承 BaseMapper<User> 接口: ```java import com.baomidou.mybatisplus.core.mapper.BaseMapper; public interface UserMapper extends BaseMapper<User> { } ``` 4. 创建 UserDetailsService 实现类,实现 loadUserByUsername 方法,根据用户名查询用户信息: ```java import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper; import com.example.demo.entity.User; import com.example.demo.mapper.UserMapper; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.security.core.userdetails.User.UserBuilder; import org.springframework.stereotype.Service; @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { QueryWrapper<User> wrapper = new QueryWrapper<>(); wrapper.eq("username", username); User user = userMapper.selectOne(wrapper); if (user == null) { throw new UsernameNotFoundException("用户不存在"); } UserBuilder builder = org.springframework.security.core.userdetails.User.withUsername(username); builder.password(user.getPassword()); builder.roles("USER"); return builder.build(); } } ``` 5. 创建 LoginController 类,处理登录请求: ```java import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.Authentication; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController public class LoginController { private final AuthenticationManager authenticationManager; private final UserDetailsService userDetailsService; public LoginController(AuthenticationManager authenticationManager, UserDetailsService userDetailsService) { this.authenticationManager = authenticationManager; this.userDetailsService = userDetailsService; } @PostMapping("/login") public String login(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); return "登录成功,欢迎 " + userDetails.getUsername(); } } ``` 6. 创建 LoginRequest 类,用于接收登录请求的用户名和密码: ```java public class LoginRequest { private String username; private String password; // getter/setter 略 } ``` 以上就是使用 Spring Boot 和 MyBatis-Plus 实现登录接口的基本步骤。在实现过程中 ### 回答2: Spring Boot是一个用于创建独立的、生产级别的基于Spring的应用程序的框架。MyBatis-Plus是一个基于MyBatis的增强工具,使得使用MyBatis更加便捷。下面是一个使用Spring Boot和MyBatis-Plus实现登录接口的示例: 1. 首先,需要创建一个实体类来表示用户数据,例如User实体类,其中包含属性id、username和password。 2. 创建一个Mapper接口来定义各种数据库操作,例如UserMapper接口。使用MyBatis-Plus的扩展接口BaseMapper可以减少手动编写SQL语句的工作量,它已经包含了一些常见的数据库操作方法,如selectById、selectList、insert、update等。 3. 在application.properties文件中配置数据库连接信息,包括数据库URL、用户名和密码。 4. 创建一个Service类,例如UserService类,用于处理业务逻辑。可以使用@Autowired注解将UserMapper注入到UserService类中,以便调用数据库操作。 5. 实现登录接口,可以创建一个Controller类,例如LoginController类。在其中定义一个login方法,用于接收前端传来的用户名和密码,然后调用UserService的方法进行用户验证。如果验证成功,则返回一个表示登录成功的状态码和一个token,否则返回一个表示登录失败的状态码。 6. 在登录成功后,可以将token保存在前端的localStorage或sessionStorage中。在后续的请求中,前端可以将token放在请求头中发送给服务,以完成用户认证。 以上是一个简单的使用Spring Boot和MyBatis-Plus实现登录接口的示例。当然,在实际项目中,可能还需要添加很多其他的功能,如密码加密、验证码校验、异常处理等。但这个示例可以帮助你了解如何使用Spring Boot和MyBatis-Plus构建一个登录接口。 ### 回答3: Spring Boot和MyBatis-Plus是一种常见的Java开发框架和库,用于快速构建基于Spring框架和MyBatis持久层的应用程序。下面是一个简单的登录接口实现示例: 首先,我们需要创建一个用户实体类,用来表示用户的登录信息。该类可以包含用户名和密码等字段。 然后,在控制类中创建一个登录的请求处理方法,该方法使用@PostMapping注解,表示处理POST请求。通过@RequestParam注解,获取前端传递的用户名和密码参数。接着,通过MyBatis-Plus提供的查询条件构造,使用lambda表达式查询数据库中是否存在匹配的用户名和密码。如果存在匹配的用户,则返回登录成功的信息;否则,返回登录失败的信息。 接下来,我们可以配置一个拦截或者过滤,对登录接口进行访问权限控制。比如,只有已登录的用户才能访问该接口。 最后,我们可以使用Postman等工具测试登录接口。通过发送POST请求,传递用户名和密码参数,即可获取登录结果。 需要注意的是,以上仅为登录接口的实现示例,实际应用中可能还需要添加校验、加密等功能,以增强安全性。 总之,Spring Boot和MyBatis-Plus的结合可以简化开发流程,提高开发效率,实现功能强大的登录接口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值