基于URL权限拦截的实现
一、实现原理
1.实现原理
本示例采用SpringMVC的拦截器来实现一个基于URL的权限拦截。
2.权限管理流程
二、数据库搭建
1.用户表(sys_user)
(1)表结构
(2)表字段说明
id:主键
usercode:登录用户名
username:姓名
passsword:密码
salt:盐
locked:是否锁定
(3)表数据
INSERT INTO `sys_user` VALUES ('lisi', 'lisi', '李四', '96e79218965eb72c92a549dd5a330112', 'uiwueylm', '0');
INSERT INTO `sys_user` VALUES ('zhangsan', 'zhangsan', '张三', '96e79218965eb72c92a549dd5a330112', 'eteokues', '0');
2.角色表(sys_role)
(1)表结构
(2)表字段说明
id:主键
name:角色名称
avaliable:是否启用
(3)表数据
INSERT INTO `sys_role` VALUES ('ebc8a441-c6f9-11e4-b137-0adc305c3f28', '商品管理员', '1');
INSERT INTO `sys_role` VALUES ('ebc9d647-c6f9-11e4-b137-0adc305c3f28', '用户管理员', '1');
3.权限表(sys_premission)
(1)表结构
(2)表字段说明
id:主键
name:资源名称
type:资源类型
url:访问url地址
percode:权限代码字符串
parentid:父结点id
parentids:父结点id列表串
sortstring:排序号
available:是否启用
(3)表数据
INSERT INTO `sys_permission` VALUES ('1', '权限', '', '', null, '0', '0/', '0', '1');
INSERT INTO `sys_permission` VALUES ('11', '商品管理', 'menu', 'queryItems.action', null, '1', '0/1/', '1.', '1');
INSERT INTO `sys_permission` VALUES ('12', '商品新增', 'permission', '/item/add.action', 'item:create', '11', '0/1/11/', '', '1');
INSERT INTO `sys_permission` VALUES ('13', '商品修改', 'permission', '/updateitems.action', 'item:update', '11', '0/1/11/', '', '1');
INSERT INTO `sys_permission` VALUES ('14', '商品删除', 'permission', '', 'item:delete', '11', '0/1/11/', '', '1');
INSERT INTO `sys_permission` VALUES ('15', '商品查询', 'permission', '/queryItems.action', 'item:query', '11', '0/1/11/', null, '1');
INSERT INTO `sys_permission` VALUES ('21', '用户管理', 'menu', '/user/query.action', 'user:query', '1', '0/1/', '2.', '1');
INSERT INTO `sys_permission` VALUES ('22', '用户新增', 'permission', '', 'user:create', '21', '0/1/21/', '', '1');
INSERT INTO `sys_permission` VALUES ('23', '用户修改', 'permission', '', 'user:update', '21', '0/1/21/', '', '1');
INSERT INTO `sys_permission` VALUES ('24', '用户删除', 'permission', '', 'user:delete', '21', '0/1/21/', '', '1');
4.用户角色表(sys_user_role)
(1)表结构
(2)表字段说明
id:主键
sys_user_id:用户id
sys_role_id:角色id
(3)表数据
INSERT INTO `sys_user_role` VALUES ('ebc8a441-c6f9-11e4-b137-0adc305c3f28', 'zhangsan', 'ebc8a441-c6f9-11e4-b137-0adc305c');
INSERT INTO `sys_user_role` VALUES ('ebc9d647-c6f9-11e4-b137-0adc305c3f28', 'lisi', 'ebc9d647-c6f9-11e4-b137-0adc305c');
5.角色权限表(sys_role_premission)
(1)表结构
(2)表字段说明
id:主键
sys_permission_id:权限id
sys_role_id:角色id
(3)表数据
INSERT INTO `sys_role_permission` VALUES ('ebc8a441-c6f9-11e4-b137-0adc305c3f21', 'ebc8a441-c6f9-11e4-b137-0adc305c', '12');
INSERT INTO `sys_role_permission` VALUES ('ebc8a441-c6f9-11e4-b137-0adc305c3f22', 'ebc8a441-c6f9-11e4-b137-0adc305c', '11');
INSERT INTO `sys_role_permission` VALUES ('ebc8a441-c6f9-11e4-b137-0adc305c3f24', 'ebc9d647-c6f9-11e4-b137-0adc305c', '21');
INSERT INTO `sys_role_permission` VALUES ('ebc8a441-c6f9-11e4-b137-0adc305c3f25', 'ebc8a441-c6f9-11e4-b137-0adc305c', '15');
INSERT INTO `sys_role_permission` VALUES ('ebc9d647-c6f9-11e4-b137-0adc305c3f23', 'ebc9d647-c6f9-11e4-b137-0adc305c', '22');
INSERT INTO `sys_role_permission` VALUES ('ebc9d647-c6f9-11e4-b137-0adc305c3f26', 'ebc8a441-c6f9-11e4-b137-0adc305c', '13');
6.商品表(items)
(1)表结构
(2)表字段说明
id:主键
name:商品名称
price:商品价格
detil:商品描述
pic:商品图片url
createtime:创建时间
(3)表数据
INSERT INTO `items` VALUES ('1', '台式机', '3000.0', '该电脑质量非常好!!!!', null, '2015-02-03 13:22:53');
INSERT INTO `items` VALUES ('2', '笔记本', '6000.0', '笔记本性能好,质量好!!!!!', null, '2015-02-09 13:22:57');
INSERT INTO `items` VALUES ('3', '背包', '200.0', '名牌背包,容量大质量好!!!!', null, '2015-02-06 13:23:02');
三、程序实现
(一)认证
1.系统登录流程
系统 登陆相当 于用户身份认证,用户成功,要在session中记录用户的身份信息.
操作流程:
1. 用户进行登陆页面
2. 输入用户名和密码进行登陆
3. 进行用户名和密码校验
4. 如果校验通过,在session记录用户身份信息
2.创建专门类用于记录用户身份信息
public class ActiveUser {
//用户id
private String userid;
//用户账号
private String usercode;
//用户名称
private String username;
//getter and setter....
}
3.mybatis的mapper和mapper接口
(1)ActiveUserMapper.xml
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.jack.mapper.ActiveUserMapper">
<select id="authenticat" parameterType="String" resultType="activeUser" >
SELECT * FROM sys_user WHERE usercode = #{id}
</select>
</mapper>
(2)ActiveUserMapper.java
public interface ActiveUserMapper {
public ActiveUser authenticat(String usercode) throws Exception;
}
4.service(进行用户名和密码校验)
public interface UserService {
//根据用户名和密码进行身份验证,如果通过,则返回身份信息
public ActiveUser authenticat(String usercode, String password) throws Exception;
}
5.验证的实现类
public ActiveUser authenticat(String usercode, String password) throws Exception {
//查询该用户
User user = userMapper.authenticat(usercode);
if(user == null){
throw new ItemsException("该账号不存在");
}
//得到用户的id
String userid = user.getId();
//获取该用户的密码
String user_password = user.getPassword();
MD5 md5 = new MD5();
String passwprd1 = md5.getMD5ofStr(password);
//将密码和输入的密码进行比较
if(!user_password.equals(passwprd1)){
throw new ItemsException("用户名或密码错误");
}
//认证通过,返回认证信息
ActiveUser activeUser = new ActiveUser();
activeUser.setUsercode(user.getUsercode());
activeUser.setUsername(user.getUsername());
activeUser.setUserid(user.getId());
return activeUser;
}
6.controller
/**
* TODO:登录controller
* @param session 系统session
* @param randomcode 验证码
* @param usercode 用户账号
* @param password //用户密码
* @return 重定向
* @throws Exception
*/
@RequestMapping("/login")
public String login (HttpSession session,String randomcode,String usercode,String password)throws Exception{
//从session中获取验证码信息
String validateCode = (String) session.getAttribute("validateCode");
//对比验证码信息
/* if(!validateCode.equals(randomcode)){
//验证码不一致,抛出异常
throw new ItemsException("验证码错误");
}*/
//检验账号密码是否正确
ActiveUser activeUser = userService.authenticat(usercode,password);
//将身份信息保存到session
session.setAttribute("activeUser",activeUser);
return "redirect:/first.action";
}
7.创建保存匿名访问地址的properties文件
#可以匿名访问的url地址
login.action = 登录
8.编写登录的拦截器LoginIntersector
public class LoginIntersector implements HandlerInterceptor{
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
//得到请求的URL
String url = httpServletRequest.getRequestURI();
//判断是否是公开地址
//1.从配置文件中获取全部公开地址
List<String> anonymousUrl = ResourcesUtil.gekeyList("./config/anonymousURL");
//对比URL
for (String an_url: anonymousUrl) {
if(url.indexOf(an_url) >= 0){
//如果是公开地址,放行
return true;
}
}
//获取session
HttpSession session = httpServletRequest.getSession();
//获取身份信息
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
//判断身份信息在session中是否存在
if(activeUser != null){
//存在放行
return true;
}
//跳转到登录页面
httpServletRequest.getRequestDispatcher("/page/login.jsp").forward(httpServletRequest,httpServletResponse);
return false;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
9.配置登录的拦截器
<!--配置全局的拦截器-->
<mvc:interceptors>
<!--多个拦截器顺序执行-->
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.jack.intersector.LoginIntersector" />
</mvc:interceptor>
</mvc:interceptors>
(二)、授权
1.流程
在用户认证时,认证通过,根据用户id从数据库获取用户权限范围的菜单,将菜单的集合存储在session中。
2.修改用于记录用户身份信息的类
public class ActiveUser {
//用户id
private String userid;
//用户账号
private String usercode;
//用户名称
private String username;
//用户权限列表
private List<SysPermission> menus;
//用户菜单列表
private List<SysPermission> permissions;
3.mapper和mapper接口
(1) SyspermissionMapper.xml
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.jack.mapper.SyspermissionMapper">
<select id="findMenuListByUserId" parameterType="String" resultType="sysPermission">
SELECT
*
FROM
sys_permission
WHERE
type = 'menu'
AND
id IN (
SELECT
sys_permission_id
FROM
sys_role_permission
WHERE
sys_role_id IN (
SELECT
sys_role_id
FROM
sys_user_role
WHERE
sys_user_id =#{id}
)
)
</select>
<select id="findPermissionListByUserId" parameterType="String" resultType="sysPermission">
SELECT
*
FROM
sys_permission
WHERE
type = 'permission'
AND
id IN (
SELECT
sys_permission_id
FROM
sys_role_permission
WHERE
sys_role_id IN (
SELECT
sys_role_id
FROM
sys_user_role
WHERE
sys_user_id =#{id}
)
)
</select>
</mapper>
(2)SyspermissionMapper.java
public interface SyspermissionMapper {
//获取用户的权限列表
public List<SysPermission> findPermissionListByUserId(String userid) throws Exception;
//获取用户的菜单列表
public List<SysPermission> findMenuListByUserId(String userid) throws Exception;
}
(4)修改service接口实现类
public ActiveUser authenticat(String usercode, String password) throws Exception {
//查询该用户
User user = userMapper.authenticat(usercode);
if(user == null){
throw new ItemsException("该账号不存在");
}
//等到用户的id
String userid = user.getId();
//得到用户的菜单列表
List<SysPermission> menus = syspermissionMapper.findMenuListByUserId(userid);
//得到用户的权限列表
List<SysPermission> permissions = syspermissionMapper.findPermissionListByUserId(userid);
//获取该用户的密码
String user_password = user.getPassword();
MD5 md5 = new MD5();
String passwprd1 = md5.getMD5ofStr(password);
//将密码和输入的密码进行比较
if(!user_password.equals(passwprd1)){
throw new ItemsException("用户名或密码错误");
}
//认证通过,返回认证信息
ActiveUser activeUser = new ActiveUser();
activeUser.setUsercode(user.getUsercode());
activeUser.setUsername(user.getUsername());
activeUser.setUserid(user.getId());
activeUser.setMenus(menus);
activeUser.setPermissions(permissions);
return activeUser;
}
(5)页面菜单的动态显示
<c:if test="${activeUser.menus!=null }">
<ul>
<c:forEach items="${activeUser.menus }" var="menu">
<li><div>
<a title="${menu.name }" ref="1_1" href="#"
rel="${baseurl }${menu.url }" icon="icon-log"><span
class="icon icon-log"> </span><span class="nav"><a href=javascript:addTab('${menu.name }','${baseurl }${menu.url }')>${menu.name }</a></span></a>
</div></li>
</c:forEach>
</ul>
</c:if>
(6)权限拦截器PermissionIntersector
public class PermissionIntersector implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
//得到用户的访问地址
String url1 = httpServletRequest.getRequestURI();
String url = url1.substring(url1.lastIndexOf("/"));
//判断是否是公开地址
List<String> an_urls = ResourcesUtil.gekeyList("./config/anonymousURL");
for (String an_url:an_urls) {
if(url.indexOf(an_url) >=0){
return true;
}
}
//判读是否是共用地址
List<String> co_urls = ResourcesUtil.gekeyList("./config/commonURL");
for (String co_url: co_urls) {
if(url.indexOf(co_url) >= 0){
return true;
}
}
//获取session
HttpSession session = httpServletRequest.getSession();
//获得权限列表
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
//获取权限列表
List<SysPermission> permissions = activeUser.getPermissions();
for (SysPermission permission:permissions
) {
String p_url = permission.getUrl();
if(url.indexOf(p_url) >= 0){
return true;
}
}
httpServletRequest.getRequestDispatcher("page/refuse.jsp").forward(httpServletRequest,httpServletResponse);
return false;
}
@Override
public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
}
}
(7)配置权限拦截器
<!--配置全局的拦截器-->
<mvc:interceptors>
<!--多个拦截器顺序执行-->
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.jack.intersector.LoginIntersector" />
</mvc:interceptor>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.jack.intersector.PermissionIntersector" />
</mvc:interceptor>
</mvc:interceptors>
四、总结
使用基于url拦截的权限管理方式,实现起来比较简单,不依赖框架,使用web提供filter就可以实现。
问题:
需要将所有的url全部配置起来,有些繁琐,不易维护,url(资源)和权限表示方式不规范。
基于URL权限拦截的实现的更多相关文章
- spring security实现简单的url权限拦截
在一个系统中,权限的拦截是很常见的事情,通常情况下我们都是基于url进行拦截.那么在spring security中应该怎么配置呢. 大致步骤如下: 1.用户登录成功后我们需要拿到用户所拥有的权限,并 ...
- Shiro集成SSM基于URL权限管理(一)
学习了shiro之后,我们就可以说尝试把shiro加入ssm中,并做一套基于URL的权限管理. 其他的准备工作就不多说了,直接动手操作,看到效果再去理解. 表结构 执行如下,数据库名字可以自行修改,不 ...
- 【基于url权限管理 shiro(一)】--基础
只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源.权限管理包括用户认证和授权两部分. 用户认证 1.概 ...
- 基于url的权限管理
基于url权限管理流程 完成权限管理的数据模型创建. 1. 系统登陆 系统 登陆相当 于用户身份认证,用户成功,要在session中记录用户的身份信息. 操作流程: 用户进行登陆页面 输入用户 ...
- Shiro集成SSM基于动态URL权限管理(二)
这个案例基于上一个demo扩展而来.所以数据库表,在Shiro集成SSM基于URL权限管理(一)开篇的一致.如果上个demo操作的建议重新导入一次,避免出现问题. 而这次都不是通过固定写在方法上的注解 ...
- 基于 URL 的权限控制
先不用框架,自己实现一下 数据库 /* SQLyog v10.2 MySQL - 5.1.72-community : Database - shiro *********************** ...
- 基于url拦截实现权限控制
用户表,角色表,用户角色表,权限表,权限角色表 1.用户通过认证(可以是验证用户名,密码等) 2.登陆拦截器,为公开的url放行, 登陆时,将用户信息放入session中,获得用户的权限集合,将集合放 ...
- shiro-5基于url的权限管理
1.1 搭建环境 1.1.1 数据库 mysql5.1数据库中创建表:用户表.角色表.权限表(实质上是权限和资源的结合 ).用户角色表.角色权限表. 完成权限管理的数据模型创建. 1.1.2 开发环境 ...
- springboot整合security实现基于url的权限控制
权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版. 在上代码 ...
随机推荐
- WebApi跨域请求
在实际开发中 会有提供webapi给前端js 直接调用的情况, 这时候就会有存在跨域的情况, 解决方案: 在Global中添加代码 protected void Application_BeginRe ...
- Android 工具类大全
转载请标明出处:http://blog.csdn.net/lmj623565791/article/details/38965311 1.日志工具类L.java package com.zhy.uti ...
- IO--RAID
RAID IO计算 Raid 0 –每个磁盘的I/O计算= (读+写) /磁盘个数 Raid 1 --每个磁盘的I/O计算= [读+(2*写)]/2 Raid 5 --每个磁盘的I/O计算= [读+( ...
- C#中Attribute/特性的使用
类似Java的注解/Annotation 特性是用于在运行时传递程序中各种元素(比如类.方法.结构.枚举.组件等)的行为信息的声明性标签,这个标签可以有多个.您可以通过使用特性向程序添加声明性信息.一 ...
- django LookUp
Custom Lookups 一个简单LookUp例子 Author.objects.filter(name__ne='Jack') # Translate SQL "author" ...
- Ajax 如何执行 Response.Redirect
Ajax 直接对服务端的Response.Redirect是不感冒的, 另觅途径, 具体可行办法如下: Web Service 服务端: public WXService() { if (!IsVal ...
- 阿里云PolarDB及其共享存储PolarFS技术实现分析(上)
PolarDB是阿里云基于MySQL推出的云原生数据库(Cloud Native Database)产品,通过将数据库中计算和存储分离,多个计算节点访问同一份存储数据的方式来解决目前MySQL数据库存 ...
- eclipse - maven使用国内镜像
1 使用 maven 插件 - 官网下载 2 修改 eg : apache-maven-3.6.0-bin\apache-maven-3.6.0\conf\ setting.xml - 可备份下 3 ...
- Mysql数据类型《二》字符类型
字符类型 #官网:https://dev.mysql.com/doc/refman/5.7/en/char.html #注意:char和varchar括号内的参数指的都是字符的长度 #char类型:定 ...
- python学习笔记1.3
温度转换实例 #TempConvert.pyTempStr = input("请输入带有符号的温度值: ")if TempStr[-1] in ['F', 'f']:C = (ev ...