之前的Struts2项目通过再Sitemesh的母版页中使用Struts的if标签进行了session判断,使得未登录的用户不能看到页面,但是这 种现仅仅在view层进行,如果未登录用户直接在地址栏输入登录用户才能访问的地址,那么相应的action还是会执行,仅仅是不让用户看到罢了。这样显 然是不好的,所以研究了一下Struts2的权限验证。

权限最核心的是业务逻辑,具体用什么技术来实现就简单得多。

通常:用户与角色建立多对多关系,角色与业务模块构成多对多关系,权限管理在后者关系中。

对权限的拦截,如果系统请求量大,可以用Struts2拦截器来做,请求量小可以放在filter中。但一般单级拦截还不够,要做到更细粒度的权限控制,还需要多级拦截。

不大理解filter(过滤器)和interceptor(拦截器)的区别:

、拦截器是基于java的反射机制的,而过滤器是基于函数回调 。

、过滤器依赖与servlet容器,而拦截器不依赖与servlet容器 。

、拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求 起作用 。

、拦截器可以访问action上下文、值栈里的对象,而过滤器不能 。

、在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容 器初始化时被调用一次

权限验证的Filter实现
web.xml代码片段

  <!-- authority filter 最好加在Struts2的Filter前面-->

  <filter>

    <filter-name>SessionInvalidate</filter-name>

    <filter-class>filter.SessionCheckFilter</filter-class>

    <init-param>

      <param-name>checkSessionKey</param-name>

      <param-value>loginName</param-value>

    </init-param>

    <init-param>

      <param-name>redirectURL</param-name>

      <param-value>/entpLogin.jsp</param-value>

    </init-param>

    <init-param>

      <param-name>notCheckURLList</param-name>

      <param-value>/entpLogin.jsp,/rois/loginEntp.action,/entpRegister.jsp,/test.jsp,/rois/registerEntp.action</param-value>

    </init-param>

  </filter>

  <!--过滤/rois命名空间下所有action  -->

  <filter-mapping>

    <filter-name>SessionInvalidate</filter-name>

    <url-pattern>/rois/*</url-pattern>

  </filter-mapping>

  <!--过滤/jsp文件夹下所有jsp  -->

  <filter-mapping>

    <filter-name>SessionInvalidate</filter-name>

    <url-pattern>/jsp/*</url-pattern>

  </filter-mapping>

SessionCheckFilter.java代码

package filter;

import java.io.IOException;

import java.util.HashSet;

import java.util.Set;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

/**

 * 用于检测用户是否登陆的过滤器,如果未登录,则重定向到指的登录页面 配置参数 checkSessionKey 需检查的在 Session 中保存的关键字

 * redirectURL 如果用户未登录,则重定向到指定的页面,URL不包括 ContextPath notCheckURLList

 * 不做检查的URL列表,以分号分开,并且 URL 中不包括 ContextPath

 */

public class SessionCheckFilter implements Filter {

  protected FilterConfig filterConfig = null;

  private String redirectURL = null;

  private Set<String> notCheckURLList = new HashSet<String>();

  private String sessionKey = null;

  @Override

  public void destroy() {

    notCheckURLList.clear();

  }

  @Override

  public void doFilter(ServletRequest servletRequest,

      ServletResponse servletResponse, FilterChain filterChain)

      throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) servletRequest;

    HttpServletResponse response = (HttpServletResponse) servletResponse;

    HttpSession session = request.getSession();

    if (sessionKey == null) {

      filterChain.doFilter(request, response);

      return;

    }

    if ((!checkRequestURIIntNotFilterList(request))

        && session.getAttribute(sessionKey) == null) {

      response.sendRedirect(request.getContextPath() + redirectURL);

      return;

    }

    filterChain.doFilter(servletRequest, servletResponse);

  }

  private boolean checkRequestURIIntNotFilterList(HttpServletRequest request) {

    String uri = request.getServletPath()

        + (request.getPathInfo() == null ? "" : request.getPathInfo());

    String temp = request.getRequestURI();

    temp = temp.substring(request.getContextPath().length() + );

    // System.out.println("是否包括:"+uri+";"+notCheckURLList+"=="+notCheckURLList.contains(uri));

    return notCheckURLList.contains(uri);

  }

  @Override

  public void init(FilterConfig filterConfig) throws ServletException {

    this.filterConfig = filterConfig;

    redirectURL = filterConfig.getInitParameter("redirectURL");

    sessionKey = filterConfig.getInitParameter("checkSessionKey");

    String notCheckURLListStr = filterConfig

        .getInitParameter("notCheckURLList");

    if (notCheckURLListStr != null) {

      System.out.println(notCheckURLListStr);

      String[] params = notCheckURLListStr.split(",");

      for (int i = ; i < params.length; i++) {

        notCheckURLList.add(params[i].trim());

      }

    }

  }

}

权限验证的Interceptor实现:

使用Interceptor不需要更改web.xml,只需要对struts.xml进行配置

struts.xml片段

<!-- 用户拦截器定义在该元素下 -->

    <interceptors>

      <!-- 定义了一个名为authority的拦截器 -->

      <interceptor name="authenticationInterceptor" class="interceptor.AuthInterceptor" />

      <interceptor-stack name="defualtSecurityStackWithAuthentication">

        <interceptor-ref name="defaultStack" />

        <interceptor-ref name="authenticationInterceptor" />

      </interceptor-stack>

    </interceptors>

    <default-interceptor-ref name="defualtSecurityStackWithAuthentication" />

    <!-- 全局Result -->

    <global-results>

      <result name="error">/error.jsp</result>

      <result name="login">/Login.jsp</result>

    </global-results>

    <action name="login" class="action.LoginAction">

      <param name="withoutAuthentication">true</param>

      <result name="success">/WEB-INF/jsp/welcome.jsp</result>

      <result name="input">/Login.jsp</result>

    </action>

    <action name="viewBook" class="action.ViewBookAction">

        <result name="sucess">/WEB-INF/viewBook.jsp</result>

    </action>

AuthInterceptor.java代码

package interceptor;

import java.util.Map;

import com.opensymphony.xwork2.Action;

import com.opensymphony.xwork2.ActionContext;

import com.opensymphony.xwork2.ActionInvocation;

import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

public class AuthInterceptor extends AbstractInterceptor {

  private static final long serialVersionUID = -5114658085937727056L;

  private String sessionKey="loginName";

  private String parmKey="withoutAuthentication";

  private boolean excluded;

  @Override

  public String intercept(ActionInvocation invocation) throws Exception {

    ActionContext ac=invocation.getInvocationContext();

    Map<?, ?> session =ac.getSession();

    String parm=(String) ac.getParameters().get(parmKey);

    if(parm!=null){

      excluded=parm.toUpperCase().equals("TRUE");

    }

    String user=(String)session.get(sessionKey);

    if(excluded || user!=null){

      return invocation.invoke();

    }

    ac.put("tip", "您还没有登录!");

    //直接返回 login 的逻辑视图  

        return Action.LOGIN; 

  }

}

使用自定义的default-interceptor的话有需要注意几点:

1.一定要引用一下Sturts2自带defaultStack。否则会用不了Struts2自带的拦截器。

2.一旦在某个包下定义了上面的默认拦截器栈,在该包下的所有 Action 都会自动增加权限检查功能。所以有可能会出现永远登录不了的情况。

    解决方案:

    .像上面的代码一样,在action里面增加一个参数表明不需要验证,然后在interceptor实现类里面检查是否不需要验证

    .将那些不需要使用权限控制的 Action 定义在另一个包中,这个新的包中依然使用 Struts  原有的默认拦截器栈,将不会有权限控制功能。

3.Interceptor是针对action的拦截,如果知道jsp地址的话在URL栏直接输入JSP的地址,那么权限验证是没有效果滴!

解决方案:把所有page代码(jsp)放到WEB-INF下面,这个目录下的东西是“看不见”的

Struts2 权限验证的更多相关文章

  1. struts2学习笔记--拦截器(Interceptor)和登录权限验证Demo

    理解 Interceptor拦截器类似于我们学过的过滤器,是可以在action执行前后执行的代码.是我们做web开发是经常使用的技术,比如权限控制,日志.我们也可以把多个interceptor连在一起 ...

  2. Struts2 自定义拦截器实例—登陆权限验证

    实现一个登陆权限验证的功能 message.jsp: <body> message:${message } </body> login.jsp: <% request.g ...

  3. 基于 Annotation 拦截的 Spring AOP 权限验证方法

    基于 Annotation 拦截的 Spring AOP 权限验证方法 转自:http://www.ibm.com/developerworks/cn/java/j-lo-springaopfilte ...

  4. Shiro权限验证说明

    1.简介 shiro是一个安全框架,是Apache的一个子项目.shiro提供了:认证.授权.加密.会话管理.与web集成.缓存等模块. 1.1.模块介绍 Authentication:用户身份识别, ...

  5. ABP(现代ASP.NET样板开发框架)系列之18、ABP应用层——权限验证

    点这里进入ABP系列文章总目录 ABP(现代ASP.NET样板开发框架)系列之18.ABP应用层——权限验证 ABP是“ASP.NET Boilerplate Project (ASP.NET样板项目 ...

  6. ASP.NET MVC View 和 Web API 的基本权限验证

    ASP.NET MVC 5.0已经发布一段时间了,适应了一段时间,准备把原来的MVC项目重构了一遍,先把基本权限验证这块记录一下. 环境:Windows 7 Professional SP1 + Mi ...

  7. 2_MVC+EF+Autofac(dbfirst)轻型项目框架_用户权限验证

    前言 接上面两篇 0_MVC+EF+Autofac(dbfirst)轻型项目框架_基本框架 与 1_MVC+EF+Autofac(dbfirst)轻型项目框架_core层(以登陆为例) .在第一篇中介 ...

  8. 从零开始学 Java - Spring AOP 实现用户权限验证

    每个项目都会有权限管理系统 无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录.权限管理这些必不可少的业务逻辑.有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静态页面,就 ...

  9. 【Java EE 学习 35 下】【struts2】【struts2文件上传】【struts2自定义拦截器】【struts2手动验证】

    一.struts2文件上传 1.上传文件的时候要求必须使得表单的enctype属性设置为multipart/form-data,把它的method属性设置为post 2.上传单个文件的时候需要在Act ...

随机推荐

  1. [Angular 2] 9. Replace ng-modle with #ref & events

    Let's say you want to write a simple data bing app. when you type in a text box, somewhere in the ap ...

  2. 手机相机ISO是什么

    要说什么是ISO还要从传统胶片相机说起,ISO被 称为感光度,它是衡量传统相机所使用胶片感光速度的国际统一指标,其数值反映了胶片感光时的速度(其实是银元素与光线的光化学反应速率).而对于现在并不 使用 ...

  3. CFS: 虚拟运行时间

    http://edsionte.com/techblog/archives/4331 nice和prio的关系如下: #define NICE_TO_PRIO(nice) (MAX_RT_PRIO+n ...

  4. Qt 学习之路:元素布局

    上一章我们介绍了 QML 中用于定位的几种元素,被称为定位器.除了定位器,QML 还提供了另外一种用于布局的机制.我们将这种机制成为锚点(anchor).锚点允许我们灵活地设置两个元素的相对位置.它使 ...

  5. MapReduce分析明星微博数据

    互联网时代的到来,使得名人的形象变得更加鲜活,也拉近了明星和粉丝之间的距离.歌星.影星.体育明星.作家等名人通过互联网能够轻易实现和粉丝的互动,赚钱也变得前所未有的简单.同时,互联网的飞速发展本身也造 ...

  6. java获取当前方法

    1.获取当前方法堆栈,我们一般用 StackTraceElement[] stes = Thread.currentThread().getStackTrace(); 想要获取当前方法,切记不够灵活, ...

  7. iOS-#ifdef DEBUG代码块介绍

    iOS-#ifdef DEBUG宏定义介绍 一.#ifdef DEBUG代码块 #ifdef DEBUG // Debug 模式的代码... #else // Release 模式的代码... #en ...

  8. ORACLE解锁数据库用户

    the account is locked解决办法: 1.进入sqlplus sqlplus "/as sysdba" 2.解锁: alter user hpmng account ...

  9. R文件丢失异常原因汇总

    引言: R文件丢失异常在java开发中是个比较常见的异常,造成这个异常的原因可能非常微小,但是给Android开发者们造成的麻烦可是巨大的,当程序员们费尽千辛万苦,找到自己错在哪里的时候,绝对会对自己 ...

  10. oracle 中查看一张表是否有主键,主键在哪个字段上的语句怎么查如要查aa表,

    select a.constraint_name, a.column_name from user_cons_columns a, user_constraints b where a.constra ...