Struts2拦截器

Struts2拦截器的概念和Spring Mvc拦截器一样。

  1. Struts2拦截器是在访问某个Action或Action的某个方法,字段之前或之后实施拦截,并且Struts2拦截器是可插拔的,拦截器是AOP的一种实现.
  2. 拦截器栈(Interceptor Stack)。Struts2拦截器栈就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,Struts2拦截器链中的拦截器就会按其之前定义的顺序被调用。

使用拦截器的第一步:

自定义我的权限拦截器CheckPrivilegeInterceptor,这个拦截器继承自AbstractInterceptor这个抽象类,当然你可以实现Interceptor这个接口。

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.shizongger.oa.domain.User;

public class CheckPrivilegeInterceptor extends AbstractInterceptor {

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        System.out.println("---拦截器未拦截之前---");
        String result = invocation.invoke();
        System.out.println("---拦截器拦截之后---");
        return result;
    }
}

自定义的拦截器要覆盖AbstractInterceptor抽象类的抽象方法intercept()方法,该方法是对所有的action进行拦截,String类型的返回值是我们将要返回的视图,如果要放行我们要拦截的action地址,那么代码如上所示。

使用拦截器的第二步:

配置struts的配置文件,主要是配置自定义的拦截器和配置拦截器栈。在struts.xml配置文件的package元素节点下添加以下配置:

<!-- 配置拦截器 -->
        <interceptors>
            <!-- 声明拦截器 -->
            <interceptor name="checkPrivilege" class="com.shizongger.oa.util.CheckPrivilegeInterceptor"></interceptor>

            <!-- 重新定义默认的拦截器栈 -->
            <interceptor-stack name="defaultStack">
                <interceptor-ref name="checkPrivilege"></interceptor-ref>
                <interceptor-ref name="defaultStack"></interceptor-ref>
            </interceptor-stack>
        </interceptors>

启动我的Tomcat服务器,当我在浏览器输入我的action地址时,都会被该拦截器的intercept拦截,默认是放行的,如果返回空字符串则因找不到对应的视图而报错。

登录和权限拦截

拦截器在Web开发中应用场景最多的地方就是登录验证和权限验证了。对于那些未登录系统的用户,一般我们都把他所有的请求打回到登录页面。而对于那些已经登录系统的用户,如果你不具有相应的权限,那么将无法访问我们的url。

首先在监听器中最一些系统做一些监听任务。

public class MyServletContextListener implements ServletContextListener {

    Log log = LogFactory.getLog(this.getClass());

    @Autowired
    private PrivilegeService privilegeService;

    @Override
    public void contextDestroyed(ServletContextEvent sce) {
        log.debug("---销毁监听器---");
    }

    @Override
    public void contextInitialized(ServletContextEvent sce) {
        ServletContext sc = sce.getServletContext();
        ApplicationContext ac = WebApplicationContextUtils.getWebApplicationContext(sc);
        PrivilegeService privilegeService = (PrivilegeService) ac.getBean("privilegeServiceImpl");
        List<Privilege> topPrivilegeList = privilegeService.findTopList();
        //将权限list放到比application作用域还大的ServletContext
        sc.setAttribute("topPrivilegeList", topPrivilegeList);

        // 准备数据:allPrivilegeUrls
        Collection<String> allPrivilegeUrls = privilegeService.getAllPrivilegeUrls();
        sc.setAttribute("allPrivilegeUrls", allPrivilegeUrls);
    }
}

监听器的任务是从Web容器中获得Spring的容器ApplicationContext,再从ApplicationContext中获得权限服务类privilegeService,这个service主要作用有两点,其一是获得有多的顶级权限列表;其二是获得所以权限列表。将这两者放入到application里边。

接下来就可以在我们的拦截器中写登录拦截的逻辑代码了。

    public String intercept(ActionInvocation invocation) throws Exception {
        //获取信息,从session中取出当前登录用户
        User user = (User) ActionContext.getContext().getSession().get("user");
        String nameSpace = invocation.getProxy().getNamespace();
        String actionName = invocation.getProxy().getActionName();
        //对应的权限地址
        String privilegeUrl = nameSpace + actionName;

        //如果未登录
        if(user == null) {
            //如果是去登录的页面和登录请求,就放行
            if("/user_login".equals(privilegeUrl)) {
                return invocation.invoke();
            //否则跳转到登录页面
            } else {
                return "loginUI";
            }
        } else {
            //如果已经登录则判断是否有权限
            if(user.hasPrivilegeByUrl(privilegeUrl)) {
                return invocation.invoke();
            } else {
                return "noPrivilegeError";
            }
        }
    }

处理的逻辑是,如果未登录,则判断是不是要去登录,如果用户正在登录则放行,其他请求都要跳转到loginUI登录页面。如果已经登录,则判断正在登录的用户是否具有相对应的权限。而判断是否具有权限的方法在我的user.java里面。

/**
 * 用户实体
 * @author shizongger
 * @date 2017/03/24
 */
public class User {
    private Log log = LogFactory.getLog(this.getClass());

    private Long id;

    private String loginName;

    private String password;

    private String name;

    private String gender;

    private String phoneNumber;

    private String email;

    private String description;

    private Department department;

    private Set<Role> roles;

    //getter/settter方法

    /**
     * 判断用户是否用该权限
     * @param privilegename 权限名称
     * @return
     */
    public boolean hasPrivilegeByName(String privilegeName) {
        log.debug("权限名称:" + privilegeName);

        //从本用户中取出所有角色
        for(Role role : roles) {
            //从角色遍历出所有权限
            Set<Privilege> privilegeList = role.getPrivileges();
            for(Privilege privilege : privilegeList) {
                if(privilegeName.equals(privilege.getName())) {
                    log.debug(privilegeName + "---有权限---");
                    return true;
                }
            }
        }

        log.debug(privilegeName + "---没有权限---");
        return false;
    }

    /**
     * 判断本用户是否有指定URL的权限
     *
     * @param privUrl
     * @return
     */
    public boolean hasPrivilegeByUrl(String privUrl) {
        // 超级管理有所有的权限
        if (isAdmin()) {
            return true;
        }

        // >> 去掉后面的参数
        int pos = privUrl.indexOf("?");
        if (pos > -1) {
            privUrl = privUrl.substring(0, pos);
        }
        // >> 去掉UI后缀
        if (privUrl.endsWith("UI")) {
            privUrl = privUrl.substring(0, privUrl.length() - 2);
        }

        // 如果本URL不需要控制,则登录用户就可以使用
        Collection<String> allPrivilegeUrls = (Collection<String>) ActionContext.getContext().getApplication().get("allPrivilegeUrls");
        if (!allPrivilegeUrls.contains(privUrl)) {
            return true;
        } else {
            // 普通用户要判断是否含有这个权限
            for (Role role : roles) {
                for (Privilege priv : role.getPrivileges()) {
                    if (privUrl.equals(priv.getUrl())) {
                        return true;
                    }
                }
            }
            return false;
        }
    }

    /**
     * 判断本用户是否是超级管理员
     *
     * @return
     */
    public boolean isAdmin() {
        return "admin".equals(loginName);
    }
}

hasPrivilegeByUrl()方法为根据url判断用户是否具有权限的代码逻辑,此逻辑分为三部分。其一,如果登录的用户是超级管理员admin,则不用验证权限,该用户具有所有的权限。其二,如果登录的用户基本功能部分不用验证,需要验证的功能才需要验证。基础功能模块比如首页,退出,登录页面等都不要再验证。

权限的service实现类如下:

@Service
public class PrivilegeServiceImpl extends DaoSupportImpl<Privilege> implements PrivilegeService {

    @Override
    @Transactional
    public List<Privilege> findTopList() {
        List<Privilege> topPrivletList = this.getSession()
        .createQuery("FROM Privilege p WHERE p.parent IS NULL")
        .list();

        return topPrivletList;
    }

    @Override
    @Transactional
    public Collection<String> getAllPrivilegeUrls() {
        return getSession().createQuery(//
                "SELECT DISTINCT p.url FROM Privilege p WHERE p.url IS NOT NULL")//
                .list();
    }

}

未登录的状态直接输入主页面将自动弹回登录页面,如图所示

在登录状态下权限如图:

另:

  1. Spring Mvc拦截器请参考spring mvc拦截器
  2. 本项目的GitHub地址

Struts2拦截器登录验证的更多相关文章

  1. struts2学习(6)自定义拦截器-登录验证拦截器

    需求:对登录进行验证,用户名cy 密码123456才能登录进去:  登录进去后,将用户存在session中: 其他链接要来访问(除了登录链接),首先验证是否登录,对这个进行拦截: com.cy.mod ...

  2. (三)Struts2 拦截器

    所有的学习我们必须先搭建好Struts2的环境(1.导入对应的jar包,2.web.xml,3.struts.xml) 第一节:拦截器简介 (百度百科Struts2) Struts2 拦截器是在访问某 ...

  3. 基于SSH2框架Struts2拦截器的登录验证实现(转)

        大象在这里假设你已经弄清楚了Struts2拦截器的基本概念,可以进入实际运用了.那么我们在之前的基础上只需要做下小小的改变,就可以使用Struts2的拦截器机制实现登录的验证.     修改数 ...

  4. 防止未登录用户操作—struts2拦截器简单实现(转)

    原文地址:http://blog.csdn.net/zhutulang/article/details/38351629 尊重原创,请访问原地址 一般,我们的web应用都是只有在用户登录之后才允许操作 ...

  5. Struts2拦截器 解决登录问题

    一.了解Struts2 拦截器[Interceptor] 拦截器的工作原理如图  拦截器是由每一个action请求(request)都包装在一系列的拦截器的内部,通过redirectAction再一次 ...

  6. 浅谈Struts2拦截器的原理与实现

    拦截器与过滤器           拦截器是对调用的Action起作用,它提供了一种机制可以使开发者定义在一个action执行的前后执行的代码,也可以在一个action执行前阻止其执行.同时也是提供了 ...

  7. struts2(五)之struts2拦截器与自定义拦截器

    前言 前面介绍了struts2的输入验证,如果让我自己选的话,肯定是选择xml配置校验的方法,因为,能使用struts2中的一些校验规则,就无需自己编写了, 不过到后面应该都有其他更方便的校验方法,而 ...

  8. Struts2拦截器详解

    一.Struts2拦截器原理: Struts2拦截器的实现原理相对简单,当请求struts2的action时,Struts 2会查找配置文件,并根据其配置实例化相对的    拦截器对象,然后串成一个列 ...

  9. Struts2拦截器和标签

    一.struts2拦截器 1.struts2是框架,封装了很多的功能,struts2里面封装的功能都是在拦截器里面. 2 struts2里面封装了很多的功能,有很多拦截器,不是每次这些拦截器都执行,每 ...

随机推荐

  1. fis-plus 学习笔记

    学习了一些fls-plus前端集成的东西:学的很皮毛,很多都是对官网的解释希望与大家分享,并能得到大家的指正. 参考文档:http://oak.baidu.com/fis-plus/document. ...

  2. MonkeyRunner之小白如何使用MonkeyRecorder录制回放脚本

    之前摸索了好久.学习Python语言.安装工具.拉拉溜溜也慢慢地一点点进步.每天就疯狂的上网找资料.虽然大牛们写的很详细.但是自己就是笨的不知怎么做.最后找了一篇文章,真的就是万事俱备只欠东风的感觉, ...

  3. 关于OOCSS的一点思考

    关于面向对象,自己是很熟悉了,不能说代码实际开发效果有多好,但是这个概念确实经常见,那么到底什么是面向对象? 面向对象是一种对现实世界理解和抽象的方法,是计算机编程技术发展到一定阶段后的产物---百度 ...

  4. 简单的android启动跳转页面

    java代码示例: package com.rcl; import android.app.Activity;import android.content.Intent;import android. ...

  5. centos6.5安装配置supervisor

    1.下载并安装supervisor https://pypi.python.org/pypi/supervisor/3.2.0 .tar.gz cd supervisor- python setup. ...

  6. 10大支持移动“触摸操作”的JavaScript框架

    摘要:移动开发行业的发展速度让人目不暇接,也在此大势之下,推出移动网站App成为开发者必经之路,如何让触屏设备 更易使用?如何让网站对触摸手势做出反应并使触摸更友好?所有这一切,皆因JavaScrip ...

  7. React文档翻译系列(三)JSX简介

    # React文档翻译系列(三)JSX简介 先来看一下下面的变量声明: ``` const element = Hello world! ``` 这种有趣的标签语法既不是字符串也不是HTML. 这种形 ...

  8. 【SoDiaoEditor更新啦】--谨以献给那些还在医疗行业奋斗的小伙伴们

    先放github地址:https://github.com/tlzzu/SoDiaoEditor.v2 首先,这不是愚人节的玩笑,,, 本想着三月底发布来着,结果昨天又在兼容性上调出几个bug,然后拖 ...

  9. Where T:Class,new()的使用

    当我们使用泛型的时候,有时候就会提示我们T必须是引用类型而无法进行下去,其实我们学泛型的时候也应该了解到这个T的使用场合,他可以是值类型也可以是引用类型,但是我们某些场合就只能使用引用类型比如EF中的 ...

  10. 老李推荐:第6章6节《MonkeyRunner源码剖析》Monkey原理分析-事件源-事件源概览-命令队列

    老李推荐:第6章6节<MonkeyRunner源码剖析>Monkey原理分析-事件源-事件源概览-命令队列   事件源在获得字串命令并把它翻译成对应的MonkeyEvent事件后,会把这些 ...