本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截器首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截器再次拦截,拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404.

 /**

     * 进入管理用户列表页面

     * @return

     */

    @AccessPermissionsInfo("admin:list")

    @RequestMapping(value = "/admin-user-list.action",method = RequestMethod.GET)

    public String adminUserListPage(HttpSession session,Model model){

        //获取session用户是否存在

        AdminUser adminUser = (AdminUser)session.getAttribute("adminUser");

        if(adminUser!=null){

            //根据用户名查询出该用户所有拥有的权限集合,

            //这个权限集合查询出来了的集合是一个String集合,查询出来只有一列数据permission.code

            List<String> permissions =

                    permissionService.findAllPermissionByLoginName(adminUser.getLoginName());

            model.addAttribute("permissions",permissions);

        }

        return "admin-user-list";

    }

拦截器的拦截过程如下图:

AuthorizationInterceptor类:

package com.supin51.interceptor;

import com.supin51.domain.AdminUser;

import com.supin51.service.PermissionService;

import com.supin51.utils.AccessPermissionsInfo;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.List;

/**

 * @Author:ShaoJiang

 * @description: 权限认证拦截器

 * @Date: created in 下午1:43 2019/1/21

 * @Modified By:

 */

public class AuthorizationInterceptor implements HandlerInterceptor {

    private static final Log logger = LogFactory.getLog(AuthorizationInterceptor.class);

    @Autowired

    private PermissionService permissionService;

    /*

      * return true 才会继续执行下列两个方法(请求继续),否则整个请求结束

      * 该方法主要进行拦截处理,该方法在Controller处理之前调用,

      * */

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response, Object handler) throws Exception {

        //获取请求的路径进行判断

        String servletUrl = request.getServletPath();

        logger.info("权限认证拦截器:preHandle-------->"+servletUrl);

        //是否授权,默认为未授权

        boolean isAuthorize = false;

        //如果方法上有权限注释

        if(handler.getClass().isAssignableFrom(HandlerMethod.class))

        {

            AccessPermissionsInfo permissionsInfo =

                    ((HandlerMethod)handler).getMethodAnnotation(AccessPermissionsInfo.class);

            if (permissionsInfo==null||permissionsInfo.value()=="")

            {

                isAuthorize = true;

                logger.info("权限认证拦截器:preHandle-------->不需要权限,可以访问");

            }else

            {

                String permission = permissionsInfo.value().toString();

                logger.info("权限认证拦截器:preHandle-------->需要权限:"+permission+"才可以访问");

                //获取session中的用户信息

                AdminUser adminUser = (AdminUser)request.getSession().getAttribute("adminUser");

                //如果用户已登录,放行,否则拦截

                if(adminUser!=null){

                    //根据用户名查询出该用户所有拥有的权限集合

                    List<String> permissions =

                            permissionService.findAllPermissionByLoginName(adminUser.getLoginName());

                    //判断权限集合中的URL字段是否包含请求的路径,如果包含就放行,否则引导至提示(权限不足,请联系管理员)页面

                    for(String s:permissions)

                    {

                        if(permission.contains(s)){

                            isAuthorize = true;

                            logger.info("权限认证拦截器:preHandle-------->当前登录用户:"+adminUser.getLoginName()+"有"+permission+"访问权限,验证通过");

                            break;

                        }

                    }

                }

            }

        }

        if(!isAuthorize){

            logger.info("权限认证拦截器:preHandle-------->权限不足或者无法访问该资源");

            //转发至404页面

            request.getRequestDispatcher("/404").forward(request,response);

        }

        return isAuthorize;

    }

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

        logger.info("权限认证拦截器:postHandle-------->");

    }

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

        logger.info("权限认证拦截器:afterCompletion-------->");

    }

}

自定义注解类

package com.supin51.utils;

import java.lang.annotation.*;

/**

 * @Author:ShaoJiang

 * @description:自定义权限注解,用于注解在controller方法上,在拦截器中拦截用户是否有权限访问

 * @Date: created in 下午8:44 2019/1/22

 * @Modified By:

 */

@Inherited

@Target(ElementType.METHOD)//用于方法上的注解

@Retention(RetentionPolicy.RUNTIME)

public @interface AccessPermissionsInfo {

    /**

     * 权限名称值

     * @return 权限名称

     */

    String value() default "";

}

持久层PermissionMapper.xml

<!--这个方法获取的权限返回列只有一个code字段,主要用在了拦截器和页面上的按钮权限控制显示-->

    <!--对应PermissionDao接口中的findAllPermissionByLoginName方法-->

    <select id="findAllPermissionByLoginName" parameterType="string" resultType="string" >

        SELECT tp.code

        FROM t_admin ta

        LEFT JOIN t_admin_role tar

             ON tar.adminId = ta.id

        LEFT JOIN t_role tr

             ON tar.roleId = tr.id

        LEFT JOIN t_role_permission trp

             ON trp.roleId = tr.id

        LEFT JOIN t_permission tp

             ON tp.id = trp.permissionId

        WHERE ta.loginName = #{loginName}

             AND tp.url IS NOT NULL

    </select>

页面成功跳转显示以后,在页面通过了EL表达式和jstl标签控制三级菜单权限按钮的显示,如下图:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>

<c:set var="permiss" value="${permissions}"/>

            <c:if test="${fn:contains(permiss,'admin:add')}" >

                <a href="javascript:;" onclick="admin_add('添加管理员','/admin/admin-user-add.action',null,'800px','500px')" class="btn btn-primary radius">

                <i class="Hui-iconfont Hui-iconfont-user-add"></i> 添加</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:edit')}" >

                <a href="javascript:;" onclick="admin_edit('编辑管理员','/admin/admin-user-edit.action',null,'800px','500px')" class="btn btn-primary radius">

                <i class="Hui-iconfont Hui-iconfont-edit"></i> 编辑</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:delete')}" >

                <a href="javascript:;" onclick="deleteAll()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-del"></i> 删除</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:enable')}" >

                <a href="javascript:;" onclick="admin_start()" class="btn btn-success radius">

                <i class="Hui-iconfont Hui-iconfont-jiesuo"></i> 解锁</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:disable')}" >

                <a href="javascript:;" onclick="admin_stop()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-suoding "></i> 冻结</a>

            </c:if>

             <c:if test="${fn:contains(permiss,'admin:pwdReset')}" >

                <a href="javascript:;" onclick="admin_user_password_reset()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-zhongzuo"></i> 重置密码</a>

             </c:if>

使用tom账户测试权限拦截,可以看到tom的角色在未分组里,而未分组里面什么权限也没有,当tom登录后,也看不到任何的菜单,如果强行通过网址URL进行方法,认证拦截器首先会进行验证是否登录,如果登录就放行到下一个拦截器,权限拦截器开始验证用户tom是否具有这个访问url的方法的访问权限,如果有就放行,如果没有就拦截。如下图所示:

到本小节结束,登录认证和权限验证已经全部完成。下一小节将讲解添加用户(添加用户的同时也要给用户分配角色,然后插入的到用户和角色的中间表)和添加角色(添加角色的同时也要给角色分配权限,然后插入到角色和权限的中间表)。

 

JavaEE权限管理系统的搭建(六)--------使用拦截器实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示的更多相关文章

  1. JavaEE权限管理系统的搭建(四)--------使用拦截器实现登录认证和apache shiro密码加密

    RBAC 基于角色的权限访问控制(Role-Based Access Control)在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限.这就极大地简化了权限的管理.在一个 ...

  2. IDEA项目搭建十一——添加拦截器、忽略URL大小写、启动事件

    程序启动时如果需要添加某些初始化代码可以使用以下事件处理 import org.springframework.context.ApplicationEvent; import org.springf ...

  3. JavaEE权限管理系统的搭建(一)--------项目中用到的知识点概括

    转战Java有一段时间了,.net 已不再开发的新的工程,基本上在维护,最近大半年时间在学习Java,今天抽空将学习的到的知识,应用到了一个权限管理系统的小项目中,特此记录一下.代码如有不对之处,希望 ...

  4. JavaEE权限管理系统的搭建(三)--------springmvc和mabatis整合环境搭建

    本节介绍如何环境的搭建和配置: 首先要在父工程引入jar包依赖: <!-- 通过属性定义指定jar的版本 --> <properties> <spring.version ...

  5. JavaEE权限管理系统的搭建(八)--------角色的增删改

    如下图所示,添加角色的同时,要给角色分配权限菜单,关于权限数的显示,我实现了两种方式,普通方式和Ztree方式, 普通方式展示树: 主要代码部分: /** * 进入角色添加页面 * @param mo ...

  6. JavaEE权限管理系统的搭建(五)--------RBAC权限管理中的权限菜单的显示

    上一小节实现了登录的实现,本小节实现登录后根据用户名查询当前用户的角色所关联的所有权限,然后进行菜单的显示.登录成功后,如下图所示,管理设置是一级菜单,管理员列表,角色管理,权限管理是二级菜单. 先来 ...

  7. ABP module-zero +AdminLTE+Bootstrap Table+jQuery权限管理系统第十六节--SignalR与ABP框架Abp.Web.SignalR及扩展

    SignalR简介 SignalR是什么? ASP.NET SignalR 是为 ASP.NET 开发人员提供的一个库,可以简化开发人员将实时 Web 功能添加到应用程序的过程.实时 Web 功能是指 ...

  8. Spring+SpringMVC+MyBatis深入学习及搭建(十七)——SpringMVC拦截器

    转载请注明出处:http://www.cnblogs.com/Joanna-Yan/p/7098753.html 前面讲到:Spring+SpringMVC+MyBatis深入学习及搭建(十六)--S ...

  9. JavaEE开发之SpringMVC中的自定义拦截器及异常处理

    上篇博客我们聊了<JavaEE开发之SpringMVC中的路由配置及参数传递详解>,本篇博客我们就聊一下自定义拦截器的实现.以及使用ModelAndView对象将Controller的值加 ...

随机推荐

  1. Coursera 机器学习 第6章(下) Machine Learning System Design 学习笔记

    Machine Learning System Design下面会讨论机器学习系统的设计.分析在设计复杂机器学习系统时将会遇到的主要问题,给出如何巧妙构造一个复杂的机器学习系统的建议.6.4 Buil ...

  2. 深入理解Javascript封装DOMContentLoaded事件

    最近在写一个Javascript的框架,刚把DOMContentLoaded事件封装好,略带小兴奋,把开发过程中遇到的原理和兼容性问题做篇笔记,省的忘记到处找. 我们在写js代码的时候,一般都会添加w ...

  3. asp.net的几种页面传值方式

    1."~/x/xx.aspx?id=" + id string id=Request.Params["id"].ToString(); 2.Response.R ...

  4. 08.StreamReader和StreamWrite的学习

    StreamReader和StreamWrite是用来操作字符的 namespace _21.对StreamReader和StreamWriter的学习 { class Program { stati ...

  5. Session&Cookie 简介及使用

    Cookie cookie 是存储于访问者的计算机中的变量.每当同一台计算机通过浏览器请求某个页面时,就会发送这个 cookie.你可以使用 JavaScript 或其它语言来创建和取回 cookie ...

  6. 通过tomcat shutdown port关闭tomcat

    在tomcat server.xml配置文件中,有个配置项 <Server port="8005" shutdown="SHUTDOWN"> 通过向 ...

  7. HashMap put、get方法源码分析

    HashMap.java的实现是面试必问的问题. JDK版本 java version "1.8.0_91" Java(TM) SE Runtime Environment (bu ...

  8. oracle学习篇八:约束

    ----约束------- --1.主键约束--唯一标识,不能为空,通常用于ID--1>创建主键create table person(id varchar2(20) primary key,n ...

  9. 详细分析UserLock如何保证高校内部信息安全

    俄克拉荷马城市公立学校的IT团队负责该片区接近43000个学生的网络管理工作.长期以来,学生和教师员工共享Windows网络登录为他们带来了很多难题. 由于没有并发登录的限制,也不能对网络使用情况进行 ...

  10. mvc4站点支持.html

    MVc站点在配置通配符后,还需要配置这个才能支持.html.在自定义的路由中加入.自定义代码就可以支持子定义的html了.