本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截器首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截器再次拦截,拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404.

 /**

     * 进入管理用户列表页面

     * @return

     */

    @AccessPermissionsInfo("admin:list")

    @RequestMapping(value = "/admin-user-list.action",method = RequestMethod.GET)

    public String adminUserListPage(HttpSession session,Model model){

        //获取session用户是否存在

        AdminUser adminUser = (AdminUser)session.getAttribute("adminUser");

        if(adminUser!=null){

            //根据用户名查询出该用户所有拥有的权限集合,

            //这个权限集合查询出来了的集合是一个String集合,查询出来只有一列数据permission.code

            List<String> permissions =

                    permissionService.findAllPermissionByLoginName(adminUser.getLoginName());

            model.addAttribute("permissions",permissions);

        }

        return "admin-user-list";

    }

拦截器的拦截过程如下图:

AuthorizationInterceptor类:

package com.supin51.interceptor;

import com.supin51.domain.AdminUser;

import com.supin51.service.PermissionService;

import com.supin51.utils.AccessPermissionsInfo;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.List;

/**

 * @Author:ShaoJiang

 * @description: 权限认证拦截器

 * @Date: created in 下午1:43 2019/1/21

 * @Modified By:

 */

public class AuthorizationInterceptor implements HandlerInterceptor {

    private static final Log logger = LogFactory.getLog(AuthorizationInterceptor.class);

    @Autowired

    private PermissionService permissionService;

    /*

      * return true 才会继续执行下列两个方法(请求继续),否则整个请求结束

      * 该方法主要进行拦截处理,该方法在Controller处理之前调用,

      * */

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response, Object handler) throws Exception {

        //获取请求的路径进行判断

        String servletUrl = request.getServletPath();

        logger.info("权限认证拦截器:preHandle-------->"+servletUrl);

        //是否授权,默认为未授权

        boolean isAuthorize = false;

        //如果方法上有权限注释

        if(handler.getClass().isAssignableFrom(HandlerMethod.class))

        {

            AccessPermissionsInfo permissionsInfo =

                    ((HandlerMethod)handler).getMethodAnnotation(AccessPermissionsInfo.class);

            if (permissionsInfo==null||permissionsInfo.value()=="")

            {

                isAuthorize = true;

                logger.info("权限认证拦截器:preHandle-------->不需要权限,可以访问");

            }else

            {

                String permission = permissionsInfo.value().toString();

                logger.info("权限认证拦截器:preHandle-------->需要权限:"+permission+"才可以访问");

                //获取session中的用户信息

                AdminUser adminUser = (AdminUser)request.getSession().getAttribute("adminUser");

                //如果用户已登录,放行,否则拦截

                if(adminUser!=null){

                    //根据用户名查询出该用户所有拥有的权限集合

                    List<String> permissions =

                            permissionService.findAllPermissionByLoginName(adminUser.getLoginName());

                    //判断权限集合中的URL字段是否包含请求的路径,如果包含就放行,否则引导至提示(权限不足,请联系管理员)页面

                    for(String s:permissions)

                    {

                        if(permission.contains(s)){

                            isAuthorize = true;

                            logger.info("权限认证拦截器:preHandle-------->当前登录用户:"+adminUser.getLoginName()+"有"+permission+"访问权限,验证通过");

                            break;

                        }

                    }

                }

            }

        }

        if(!isAuthorize){

            logger.info("权限认证拦截器:preHandle-------->权限不足或者无法访问该资源");

            //转发至404页面

            request.getRequestDispatcher("/404").forward(request,response);

        }

        return isAuthorize;

    }

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

        logger.info("权限认证拦截器:postHandle-------->");

    }

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

        logger.info("权限认证拦截器:afterCompletion-------->");

    }

}

自定义注解类

package com.supin51.utils;

import java.lang.annotation.*;

/**

 * @Author:ShaoJiang

 * @description:自定义权限注解,用于注解在controller方法上,在拦截器中拦截用户是否有权限访问

 * @Date: created in 下午8:44 2019/1/22

 * @Modified By:

 */

@Inherited

@Target(ElementType.METHOD)//用于方法上的注解

@Retention(RetentionPolicy.RUNTIME)

public @interface AccessPermissionsInfo {

    /**

     * 权限名称值

     * @return 权限名称

     */

    String value() default "";

}

持久层PermissionMapper.xml

<!--这个方法获取的权限返回列只有一个code字段,主要用在了拦截器和页面上的按钮权限控制显示-->

    <!--对应PermissionDao接口中的findAllPermissionByLoginName方法-->

    <select id="findAllPermissionByLoginName" parameterType="string" resultType="string" >

        SELECT tp.code

        FROM t_admin ta

        LEFT JOIN t_admin_role tar

             ON tar.adminId = ta.id

        LEFT JOIN t_role tr

             ON tar.roleId = tr.id

        LEFT JOIN t_role_permission trp

             ON trp.roleId = tr.id

        LEFT JOIN t_permission tp

             ON tp.id = trp.permissionId

        WHERE ta.loginName = #{loginName}

             AND tp.url IS NOT NULL

    </select>

页面成功跳转显示以后,在页面通过了EL表达式和jstl标签控制三级菜单权限按钮的显示,如下图:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>

<c:set var="permiss" value="${permissions}"/>

            <c:if test="${fn:contains(permiss,'admin:add')}" >

                <a href="javascript:;" onclick="admin_add('添加管理员','/admin/admin-user-add.action',null,'800px','500px')" class="btn btn-primary radius">

                <i class="Hui-iconfont Hui-iconfont-user-add"></i> 添加</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:edit')}" >

                <a href="javascript:;" onclick="admin_edit('编辑管理员','/admin/admin-user-edit.action',null,'800px','500px')" class="btn btn-primary radius">

                <i class="Hui-iconfont Hui-iconfont-edit"></i> 编辑</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:delete')}" >

                <a href="javascript:;" onclick="deleteAll()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-del"></i> 删除</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:enable')}" >

                <a href="javascript:;" onclick="admin_start()" class="btn btn-success radius">

                <i class="Hui-iconfont Hui-iconfont-jiesuo"></i> 解锁</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:disable')}" >

                <a href="javascript:;" onclick="admin_stop()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-suoding "></i> 冻结</a>

            </c:if>

             <c:if test="${fn:contains(permiss,'admin:pwdReset')}" >

                <a href="javascript:;" onclick="admin_user_password_reset()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-zhongzuo"></i> 重置密码</a>

             </c:if>

使用tom账户测试权限拦截,可以看到tom的角色在未分组里,而未分组里面什么权限也没有,当tom登录后,也看不到任何的菜单,如果强行通过网址URL进行方法,认证拦截器首先会进行验证是否登录,如果登录就放行到下一个拦截器,权限拦截器开始验证用户tom是否具有这个访问url的方法的访问权限,如果有就放行,如果没有就拦截。如下图所示:

到本小节结束,登录认证和权限验证已经全部完成。下一小节将讲解添加用户(添加用户的同时也要给用户分配角色,然后插入的到用户和角色的中间表)和添加角色(添加角色的同时也要给角色分配权限,然后插入到角色和权限的中间表)。

 

JavaEE权限管理系统的搭建(六)--------使用拦截器实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示的更多相关文章

  1. JavaEE权限管理系统的搭建(四)--------使用拦截器实现登录认证和apache shiro密码加密

    RBAC 基于角色的权限访问控制(Role-Based Access Control)在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限.这就极大地简化了权限的管理.在一个 ...

  2. IDEA项目搭建十一——添加拦截器、忽略URL大小写、启动事件

    程序启动时如果需要添加某些初始化代码可以使用以下事件处理 import org.springframework.context.ApplicationEvent; import org.springf ...

  3. JavaEE权限管理系统的搭建(一)--------项目中用到的知识点概括

    转战Java有一段时间了,.net 已不再开发的新的工程,基本上在维护,最近大半年时间在学习Java,今天抽空将学习的到的知识,应用到了一个权限管理系统的小项目中,特此记录一下.代码如有不对之处,希望 ...

  4. JavaEE权限管理系统的搭建(三)--------springmvc和mabatis整合环境搭建

    本节介绍如何环境的搭建和配置: 首先要在父工程引入jar包依赖: <!-- 通过属性定义指定jar的版本 --> <properties> <spring.version ...

  5. JavaEE权限管理系统的搭建(八)--------角色的增删改

    如下图所示,添加角色的同时,要给角色分配权限菜单,关于权限数的显示,我实现了两种方式,普通方式和Ztree方式, 普通方式展示树: 主要代码部分: /** * 进入角色添加页面 * @param mo ...

  6. JavaEE权限管理系统的搭建(五)--------RBAC权限管理中的权限菜单的显示

    上一小节实现了登录的实现,本小节实现登录后根据用户名查询当前用户的角色所关联的所有权限,然后进行菜单的显示.登录成功后,如下图所示,管理设置是一级菜单,管理员列表,角色管理,权限管理是二级菜单. 先来 ...

  7. ABP module-zero +AdminLTE+Bootstrap Table+jQuery权限管理系统第十六节--SignalR与ABP框架Abp.Web.SignalR及扩展

    SignalR简介 SignalR是什么? ASP.NET SignalR 是为 ASP.NET 开发人员提供的一个库,可以简化开发人员将实时 Web 功能添加到应用程序的过程.实时 Web 功能是指 ...

  8. Spring+SpringMVC+MyBatis深入学习及搭建(十七)——SpringMVC拦截器

    转载请注明出处:http://www.cnblogs.com/Joanna-Yan/p/7098753.html 前面讲到:Spring+SpringMVC+MyBatis深入学习及搭建(十六)--S ...

  9. JavaEE开发之SpringMVC中的自定义拦截器及异常处理

    上篇博客我们聊了<JavaEE开发之SpringMVC中的路由配置及参数传递详解>,本篇博客我们就聊一下自定义拦截器的实现.以及使用ModelAndView对象将Controller的值加 ...

随机推荐

  1. 解决npm install安装慢的问题

    国外镜像会很慢 可用 get命令查看registry npm congfig get registry 原版结果为 http://registry.npmjs.org 用set命令换成阿里的镜像就可以 ...

  2. bootstrap fileinput+MVC 上传多文件,保存

    新增用户资料,需要用户上传多笔附件,所以就尝试用了fileinput控件,显示效果如图: 首先,先在model中定义数据模型: public partial class create { [Requi ...

  3. 归并排序——Java实现

    一.排序思想 将两个或两个以上的一排序文件合并成一个有序文件的过程叫归并,而归并排序就是建立在归并操作上的一种有效的排序算法,该算法是采用分治法的一个非常典型的应用.将以有序的了序列合并,得到完全有序 ...

  4. spring boot 2.0.0 + mybatis 报:Property 'sqlSessionFactory' or 'sqlSessionTemplate' are required

    spring boot 2.0.0 + mybatis 报:Property 'sqlSessionFactory' or 'sqlSessionTemplate' are required 无法启动 ...

  5. 【代码笔记】Java连连看项目的实现(2)——JTable 、TableModel的使用

    博客有时间就写写,所以一篇可能会拆成很多篇,写完后计划再合在一起. 首先肯定是要实现连连看的界面. 先准备连连看要的图片.. “LianLianKan”就是项目名称. 当然,如果小白看我的博客想学到什 ...

  6. angular-自定义模块

    <!DOCTYPE html><html lang="en" ng-app="app"><head> <script ...

  7. 原生js封装十字参考线插件(一)

    需求来源: 拓扑图之机房平面图,显示机房长宽比例尺,房间内标注各种设备间距不易实现,特在机房平面图上层加一个十字参考线 横竖两条线垂直,在鼠标指针处交叉,显示鼠标指针坐标(相对机房平面图的坐标,不是相 ...

  8. show与ShowDialog substring

    substring public String substring(int beginIndex, int endIndex) 返回一个新字符串,它是此字符串的一个子字符串.该子字符串从指定的 beg ...

  9. 1e6等于多少?

    如果抽象成这样:aeb 要求a不能不写,也就是说是1也要写上 b必须是整数. 实现上就是 a*10^b a乘以10的b次方 所以楼主的就是1*10^6 100000

  10. yanxin8文章归档

    文章归档 - 2015年四月 (共21篇文章) 26日: 14443协议的CRC_A和CRC_B (0条评论) 25日: 百度钱包-1分钱5元话费 (0条评论) 22日: 驾照考试总结 (0条评论) ...