2. 程式人生 > >基於SpringMVC攔截器和註解實現controller中訪問權限控制

基於SpringMVC攔截器和註解實現controller中訪問權限控制

阿新 發佈:2019-04-20
pattern efi figure super 設置 復制代碼 check pin system

SpringMVC的攔截器HandlerInterceptorAdapter對應提供了三個preHandle,postHandle,afterCompletion方法。

  1. preHandle在業務處理器處理請求之前被調用;
  2. postHandle在業務處理器處理請求執行完成後,生成視圖之前執行;
  3. afterCompletion在DispatcherServlet完全處理完請求後被調用,可用於清理資源等;

所以要想實現自己的權限管理邏輯,需要繼承HandlerInterceptorAdapter並重寫其三個方法。

一、自定義攔截器配置方法

  1. 在sping的xml配置中可以用<mvc:interceptors>和<mvc:interceptor>來配置攔截器類(實現HandlerInterceptorAdapter)
  2. 在javaConfig中配置通過WebMvcConfiguration的實現類配置攔截器類(實現HandlerInterceptorAdapter)

二、示例

2.1、javaconfig中配置SpringMVC示例

1、新建一個springboot項目auth-demo2

2、權限校驗相關的註解

技術分享圖片 
package com.dxz.authdemo2.web.auth;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
public @interface Permission {
    /** 檢查項枚舉 */
    PermissionEnum[] permissionTypes() default {};

    /** 檢查項關系 */
    RelationEnum relation() default RelationEnum.OR;
}

package com.dxz.authdemo2.web.auth;

import java.io.PrintWriter;
import java.lang.annotation.Annotation;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

/**
 * 權限檢查攔截器 
 */
@Component
public class PermissionCheckInterceptor extends HandlerInterceptorAdapter {  
    /** 權限檢查服務 */
    @Autowired
    private PermissionCheckProcessor permissionCheckProcessor;  
    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
        //Class<?> clazz = handler.getClass();  
        Class<?> clazz = ((HandlerMethod)handler).getBeanType();
        System.out.println("PermissionCheckInterceptor.preHandle()" + clazz);
        for(Annotation a : clazz.getAnnotations()){
            System.out.println(a);
        }
        if (clazz.isAnnotationPresent(Permission.class)) { 
            Permission permission = (Permission) clazz.getAnnotation(Permission.class);  
            return permissionCheckProcessor.process(permission, request, response);  
        }  
        return true;  
    }  
    
    public boolean preHandle2(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { 
        System.out.println("SecurityInterceptor:"+request.getContextPath()+","+request.getRequestURI()+","+request.getMethod());
        HttpSession session = request.getSession();
        if (session.getAttribute("uid") == null) {
            System.out.println("AuthorizationException:未登錄!"+request.getMethod());
            if("POST".equalsIgnoreCase(request.getMethod())){
                response.setContentType("text/html; charset=utf-8");  
                PrintWriter out = response.getWriter();   
                out.write("未登錄!");
                out.flush();
                out.close();
            }else{
                response.sendRedirect(request.getContextPath()+"/login"); 
            }
            return false;
        } else {
            return true;
        } 
    }  
}  

package com.dxz.authdemo2.web.auth;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;
@Component
public class PermissionCheckProcessor {
    public boolean process(Permission permission, HttpServletRequest request, HttpServletResponse response) {
        PermissionEnum[] permissionTypes = permission.permissionTypes();
        try {
            String uid = request.getParameter("uid");
            if ("duanxz".equals(uid)) {
                System.out.println("認證成功");
                return true;
            } else {
                System.out.println("認證失敗");
                return false;    
            }
        } catch (Exception e) {
            return false;
        }
    }
}

package com.dxz.authdemo2.web.auth;

public enum PermissionEnum {
    DEVELOPER_VALID, DEVELOPER_FREEZE;
}

package com.dxz.authdemo2.web.auth;

public enum RelationEnum {
    OR, AND;
}
技術分享圖片

3、SpringMVC攔截器配置

技術分享圖片 
package com.dxz.authdemo2.web.auth;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class WebMvcConfiguration extends WebMvcConfigurerAdapter {

    @Autowired
    PermissionCheckInterceptor permissionCheckInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // addPathPatterns 用於添加攔截規則
        // excludePathPatterns 用戶排除攔截
        // 映射為 user 的控制器下的所有映射
        registry.addInterceptor(permissionCheckInterceptor).addPathPatterns("/admin/*").excludePathPatterns("/index", "/");
        super.addInterceptors(registry);
    }
}
技術分享圖片

4、測試controller

技術分享圖片 
package com.dxz.authdemo2.web;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.servlet.ModelAndView;

import com.dxz.authdemo2.web.auth.Permission;
import com.dxz.authdemo2.web.auth.PermissionEnum;

@Controller  
@RequestMapping("/admin")  
@Permission(permissionTypes = { PermissionEnum.DEVELOPER_VALID })  
public class AppDetailController {  
    @RequestMapping(value="/appDetail", method = RequestMethod.GET)  
    public String doGet(ModelMap modelMap, HttpServletRequest httpServletRequest) {  
        //1. 業務操作,此處省略  
        System.out.println("appDetail.htm 處理中...");
        return "appDetail";
    }
}  
  
package com.dxz.authdemo2.web;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

import com.dxz.authdemo2.web.auth.Permission;
import com.dxz.authdemo2.web.auth.PermissionEnum;

@Controller  
@RequestMapping("index")  
public class IndexController {  
    @RequestMapping(method = RequestMethod.GET)  
    public void doGet(ModelMap modelMap, HttpServletRequest httpServletRequest) {  
        System.out.println("index");
    }  
}
技術分享圖片

cotroller中的jsp文件appDetail.jsp

<html>
<h1>appDetail</h1>
</html>

啟動類:

技術分享圖片 
package com.dxz.authdemo2;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import org.springframework.web.servlet.ViewResolver;
import org.springframework.web.servlet.config.annotation.DefaultServletHandlerConfigurer;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.view.InternalResourceViewResolver;

@EnableWebMvc
@EnableAutoConfiguration
@SpringBootApplication
public class AuthDemo2Application {

    public static void main(String[] args) {
        SpringApplication.run(AuthDemo2Application.class, args);
    }

    // 配置JSP視圖解析器
    @Bean
    public ViewResolver viewResolver() {
        InternalResourceViewResolver resolver = new InternalResourceViewResolver();
        resolver.setPrefix("/WEB-INF/views/");
        resolver.setSuffix(".jsp");
        return resolver;
    }
}
技術分享圖片

結果:

訪問:http://localhost:8080/admin/appDetail?uid=duanxz2

技術分享圖片

訪問:http://localhost:8080/admin/appDetail?uid=duanxz

技術分享圖片

2.2、xml中配置SpringMVC示例

首先在springmvc.xml中加入自己定義的攔截器我的實現邏輯PermissionCheckInterceptor,如下:

技術分享圖片 
<!--配置攔截器, 多個攔截器,順序執行 -->  
<mvc:interceptors>    
    <mvc:interceptor>    
        <!-- 匹配的是url路徑, 如果不配置或/**,將攔截所有的Controller -->  
        <mvc:mapping path="/" />  
        <mvc:mapping path="/user/**" />  
        <mvc:mapping path="/test/**" />  
        <bean class="com.dxz.authdemo2.web.auth.PermissionCheckInterceptor"></bean>    
    </mvc:interceptor>  
    <!-- 當設置多個攔截器時,先按順序調用preHandle方法,然後逆序調用每個攔截器的postHandle和afterCompletion方法 -->  
</mvc:interceptors>
技術分享圖片

基於SpringMVC攔截器和註解實現controller中訪問權限控制

相關推薦

基於SpringMVC攔截註解實現controller訪問控制

pattern efi figure super 設置 復制代碼 check pin system SpringMVC的攔截器HandlerInterceptorAdapter對應提供了三個preHandle,postHandle,afterCompletion方法。

SpringMVC攔截自定義註解

tor spring system image ssi 定義 技術分享 style gets 一、攔截器   1、攔截所有URL <mvc:interceptors> <bean class="myInterceptor.MyIntercept

springMVC攔截過濾器總結

cal .org 文件 bat system als request ping blog 攔截器: 用來對訪問的url進行攔截處理 用處: 權限驗證,亂碼設置等 spring-mvc.xml文件中的配置: <beans xmlns="http://www.sprin

springmvc攔截filter過濾器執行流程

springmvc攔截器當進入攔截器鏈中的某個攔截器,並執行preHandle方法後 1.當preHandle方法返回false時,從當前攔截器往回執行所有攔截器的afterCompletion方法,再

vsftpd+pam_ihosts.so實現虛擬用戶控制

ftp port vsftpd pasv ihosts 一、基礎介紹1.vsftpd運行模式分為standalone和xinetd模式,現在生產環境中,絕大多數均采用standalone模式。vsftpd一啟動,standalone模式中進程會一直駐留在內存中,當接收到21端口的請求時vs

SpringMVC攔截獲得Controller方法名註解資訊(用於驗證許可權)

在使用SpringMVC進行專案的時候用到了許可權驗證。 表分為: 使用者表; 角色表; 資源表。 使用者-角色-資源都是多對多的關係,驗證無非就是收到請求後,在攔截器迴圈判斷使用者是否有許可權執行操作。 方法一:通過request獲得使用者的U

Java自定義註解 springMVC攔截 配合使用記錄系統操作日誌的案例

自定義註解的用法, 好多人不知道, 在這裡, 程式碼的註釋中, 我已經詳細的介紹了, 另外就是很多人不知道自定義註解如何使用, 這裡配合springMVC攔截器, 做一個非常實用的案例. 案例: 記錄系統操作的日誌 首先是定義註解: package cn.wxy.ssm

springmvc攔截實現用戶登錄驗證

tdi form char urn isp msg NPU 數據 drive 實現用戶登錄權限驗證 先看一下我的項目的目錄,我是在intellij idea 上開發的 1、先創建一個User類 1 package cn.lzc.po; 2 3 public

springmvc攔截使用原理理解

res ont str ppi lan ati IT 做的 string 與struts2類似,springmvc的攔截器主要作用也是在服務端真正處理請求前後進行一些相關的操作。 例如初始化資源,權限監控,會話設置,菜單獲取,資源清理等。 步驟: 1. 定義攔截器

MyBatis學習——第四篇(攔截攔截分頁實現

MyBatis架構體圖 1:mybatis核心物件 從MyBatis程式碼實現的角度來看,MyBatis的主要的核心部件有以下幾個: SqlSession         &n

使用SpringMVC攔截實現簡單的登陸驗證功能(面向小白)

接著上一篇文章《使用Idea建立一個JavaWeb的SSM(maven)專案實現登陸功能》 在上一篇文章裡已經實現了頁面登陸的功能,但是不夠完善,在沒有攔截器的情況下我可以不登陸一樣可以訪問index.jsp頁面 如圖 在這種情況下專案是有風險的,別人可以在不登陸的情況下隨意訪問你的

基於mybatis攔截實現資料許可權

資料許可權是很多系統常見的功能,實現的方式也是很多的,最近在做專案的時候,自己基於mybatis攔截器做了一個數據許可權的功能。 **功能設計 a)  需要做資料許可權功能的表加上一個許可權id欄位。 許可權id可以不僅僅是組織,還可以是其他自定義的欄位,用來做資料許可權,

SpringMVC攔截:解決專案介面(url)訪問許可權的問題(通過url不能隨意訪問controller層)

層次關係 攔截器實現HandlerInterceptor介面 package com.bybo.aca.web.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http

關於SpringMVC攔截是否執行緒安全及多執行緒訪問產生的requestsession

Springmvc的攔截器預設是執行緒不安全,即全域性屬性就是共享的即不執行緒安全(如下程式碼中變數i就是執行緒不安全的)。 定義了一個攔截器: 並配置了一個SessionListener(關於JavaWeb的Listener配置這裡沒貼程式碼): 設定sess

攔截過濾器區別,Struts2與SpringMVC的區別

攔截器和過濾器 1.攔截器是基於java反射機制的,而過濾器是基於函式回撥的; 2.攔截器不依賴於servlet容器,而過濾器依賴於servlet容器; 3.攔截器只能對Action請求起作用,而過濾器則可以對幾乎所有請求起作用; 4.攔截器可以訪問Action上下文、值棧裡的物件,而過

Java過濾器SpringMVC攔截之間的關係與區別

  由於最近做的專案中有一部分是介面遠端呼叫,用到了接入許可權和業務許可權的鑑定,需要採用SpringMVC的攔截器,以前用Struts2的時候用過攔截器,而SpringMVC的攔截器功能之前沒研究過,所以這次來稍微研究一下,得出的結論是SpringMVC的攔截器和Struts2的攔截器原理幾乎是一模一樣的,

SpringMVC攔截實現單方登陸

過濾器跟攔截器的區別 ①攔截器是基於java的反射機制的,而過濾器是基於函式回撥。②攔截器不依賴與servlet容器,過濾器依賴與servlet容器。③攔截器只能對action請求起作用,而過濾器則可以對幾乎所有的請求起作用。④攔截器可以訪問action上下文、值棧裡的物件,而過濾器不能訪問。⑤在actio

day80_淘淘商城專案_13_訂單系統搭建 + 展示訂單確認頁面 + 使用者身份認證(SpringMVC攔截) + 實現提交訂單功能_匠心筆記

淘淘商城專案_13 1、訂單系統搭建 1.1、功能分析 1.2、工程搭建 1.2.1、建立訂單服務層工程 1.2.2、建立訂單表現層工程 2、展示訂單確認頁面

SpringMVC攔截實現登入認證

部落格以Demo的形式講訴攔截器的使用 專案結構如圖: 需要的jar:有springMVC配置需要的jar和jstl需要的jar SpringMVC包的作用說明: aopalliance.jar:這個包是AOP聯盟的API包,裡面包含了針對面向切面的介面。通常

springmvcspringboot分別設定攔截,列印記憶體資訊,訪問時間等日誌資訊

SpringMVC提供了一個攔截器介面供我們呼叫:HandlerInterceptor,這個介面有三個待實現的方法: preHandle方法 進入 Handler方法之前執行 用於身份認證、身份授權 比如身份認證,如果認證不通