一、前言
第一篇我们注意讲解了一些基础。接下来我们看看具体权限解决方案。
二、权限解决方案
2.1 资源分类
针对第一篇中的出现资源分类,这里做强调讲解。资源分类注意包括:粗粒度和细粒度。
1、粗粒度权限:资源权限类型的管理。例如:部门操作、用户信息操作 统一拦截处理(可框架)
2、细粒度权限:资源权限类型实例的管理。具体到相应数据集。例如:销售部操作、ycy用户信息操作 业务层处理
例如:user类 与 张三的关系
三、基于URL的拦截
3.1基础框架搭建
由于主要讲解权限框架,所以springMVC+mybatis的东西,不懂的同学请移步springMVC教程和mybatis教程。除此之外还有easyui的一些前端东西, 这个你懂且可以,本人一向不擅长前端,只是会用,要高端的js我也搞不出(也不建议搞java的人去攻前端)。建议框架选择:直接从我的git上面下载,或者用springmvc教程项目改。
3.2基于url拦截-用户认证实现
看图说话:绿色即是我们的用户认证,蓝色为权限控制。暂时我们只看认证
1、用户认证思路:通过用户身份和密码进行认证,如果认真通过,则保存在session里面。
接下来我们按照底层到页面开始开发:dao-mapper-service-controller-intercepter-web页面
3.2.1 建立service与mapper:完成认证
mapper:
SysUserMapper.java:
package com.ycy.mapper;
import java.util.List;
import com.ycy.model.SysUser;
import org.apache.ibatis.annotations.Param;
public interface SysUserMapper {
/**
* 根据用户查询用户系统信息
* @param usercode
* @return
*/
List<SysUser> getSysUserByUserCode(String usercode);
}mapper.xml
SysUserMapper.xml:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.ycy.mapper.SysUserMapper" >
<resultMap id="BaseResultMap" type="com.ycy.model.SysUser" >
<id column="id" property="id" jdbcType="VARCHAR" />
<result column="usercode" property="usercode" jdbcType="VARCHAR" />
<result column="username" property="username" jdbcType="VARCHAR" />
<result column="password" property="password" jdbcType="VARCHAR" />
<result column="salt" property="salt" jdbcType="VARCHAR" />
<result column="locked" property="locked" jdbcType="CHAR" />
</resultMap>
<!--基础属性-->
<sql id="Base_Column_List" >
id, usercode, username, password, salt, locked
</sql>
<!--根据用户名查询系统用户-->
<select id="getSysUserByUserCode" resultMap="BaseResultMap" parameterType="map" >
select
<include refid="Base_Column_List" />
from sys_user
WHERE usercode=#{usercode}
</select>
</mapper>SysService:
package com.ycy.service;
import com.ycy.model.ActiveUser;
import java.util.List;
/**
*
* <p>Title: SysService</p>
* <p>Description: 认证授权服务接口</p>
*/
public interface SysService {
//根据用户的身份和密码 进行认证,如果认证通过,返回用户身份信息
public ActiveUser authenticat(String userCode, String password) throws Exception;
}ItemsServiceImpl
package com.ycy.service.impl;
import java.util.List;
import com.ycy.Exception.CustomException;
import com.ycy.mapper.SysUserMapper;
import com.ycy.model.ActiveUser;
import com.ycy.model.SysUser;
import com.ycy.service.SysService;
import com.ycy.util.MD5;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
/**
*
* <p>Title: SysServiceImpl</p>
* <p>Description:认证和授权的服务接口 </p>
*/
@Service
public class SysServiceImpl implements SysService {
@Autowired
private SysUserMapper sysUserMapper;
@Override
public ActiveUser authenticat(String userCode, String password)
throws Exception {
/**
认证过程:
根据用户身份(账号)查询数据库,如果查询不到用户不存在
对输入的密码 和数据库密码 进行比对,如果一致,认证通过
*/
//根据用户账号查询数据库
SysUser sysUser = this.findSysUserByUserCode(userCode);
if(sysUser == null){
//抛出异常
throw new CustomException("用户账号不存在");
}
//数据库密码 (md5密码 )
String password_db = sysUser.getPassword();
//对输入的密码 和数据库密码 进行比对,如果一致,认证通过
//对页面输入的密码 进行md5加密
String password_input_md5 = new MD5().getMD5ofStr(password);
if(!password_input_md5.equalsIgnoreCase(password_db)){
//抛出异常
throw new CustomException("用户名或密码 错误");
}
//得到用户id
String userid = sysUser.getId();
//认证通过,返回用户身份信息
ActiveUser activeUser = new ActiveUser();
activeUser.setUserid(sysUser.getId());
activeUser.setUsercode(userCode);
activeUser.setUsername(sysUser.getUsername());//用户名称
return activeUser;
}
//根据用户账号查询用户信息
private SysUser findSysUserByUserCode(String userCode)throws Exception{
List<SysUser> list = sysUserMapper.getSysUserByUserCode(userCode);
if(list!=null && list.size()==1){
return list.get(0);
}
return null;
}
}3.2.2 controller:完成数据认证与保存session
LoginController.java:
package com.ycy.controller;
import javax.servlet.http.HttpSession;
import com.ycy.Exception.CustomException;
import com.ycy.model.ActiveUser;
import com.ycy.service.SysService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
/**
*
* <p>Title: LoginController</p>
* <p>Description: 登陆和退出</p>
*/
@Controller
public class LoginController {
@Autowired
private SysService sysService;
//用户登陆提交方法
@RequestMapping("/login")
public String login(HttpSession session,String usercode,String password,String randomcode)throws Exception{
//校验验证码
//从session获取正确的验证码
String validateCode = (String)session.getAttribute("validateCode");
if(!randomcode.equals(validateCode)){
//抛出异常:验证码错误
throw new CustomException("验证码 错误 !");
}
//用户身份认证
ActiveUser activeUser = sysService.authenticat(usercode, password);
//记录session
session.setAttribute("activeUser", activeUser);
//重定向到商品查询页面
return "redirect:/first";
}
//用户退出
@RequestMapping("/logout")
public String logout(HttpSession session)throws Exception{
//session失效
session.invalidate();
//重定向到商品查询页面
return "redirect:/items/queryItems";
}
}3.2.3用户身份认证拦截器:拥有权限验证
package com.ycy.interceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import com.ycy.model.ActiveUser;
import com.ycy.util.ResourcesUtil;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import java.util.List;
/**
*
* <p>Title: HandlerInterceptor1</p>
* <p>Description: 用户身份认证拦截器</p>
*/
public class LoginInterceptor implements HandlerInterceptor {
//在执行handler之前来执行的
//用于用户认证校验、用户权限校验
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
//得到请求的url
String url = request.getRequestURI();
//判断是否是公开 地址
//实际开发中需要公开 地址配置在配置文件中
//从配置中取逆名访问url
List<String> open_urls = ResourcesUtil.gekeyList("config/anonymousURL");
//遍历公开 地址,如果是公开 地址则放行
for(String open_url:open_urls){
if(url.indexOf(open_url)>=0){
//如果是公开 地址则放行
return true;
}
}
//判断用户身份在session中是否存在
HttpSession session = request.getSession();
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
//如果用户身份在session中存在放行
if(activeUser!=null){
return true;
}
//执行到这里拦截,跳转到登陆页面,用户进行身份认证
request.getRequestDispatcher("/pages/jsp/login.jsp").forward(request, response);
//如果返回false表示拦截不继续执行handler,如果返回true表示放行
return false;
}
//在执行handler返回modelAndView之前来执行
//如果需要向页面提供一些公用 的数据或配置一些视图信息,使用此方法实现 从modelAndView入手
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
System.out.println("HandlerInterceptor1...postHandle");
}
//执行handler之后执行此方法
//作系统 统一异常处理,进行方法执行性能监控,在preHandle中设置一个时间点,在afterCompletion设置一个时间,两个时间点的差就是执行时长
//实现 系统 统一日志记录
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex)
throws Exception {
System.out.println("HandlerInterceptor1...afterCompletion");
}
}3.2.3easyUI等问题
关于easyui请前往easyui教程参考学习。当然这里既然是学习之用,直接用源生的jsp界面也可以
3.3基于url拦截-用户认证实现测试
登录之后界面
关于数据库中的表字段,读者可以参考SysUserMapper.xml中的字段结构自行建表即可
--------摘录自ycy博客
感觉本站内容不错,读后有收获?小额赞助,鼓励网站分享出更好的教程
上一篇:web项目开发安全规范
下一篇:shiro基于url拦截-用户授权
^