shiro拦截url之用户验证

2018年02月21日 14:13 | 3468次浏览

一、前言

第一篇我们注意讲解了一些基础。接下来我们看看具体权限解决方案。

二、权限解决方案

2.1 资源分类

针对第一篇中的出现资源分类,这里做强调讲解。资源分类注意包括:粗粒度和细粒度。

1、粗粒度权限:资源权限类型的管理。例如:部门操作、用户信息操作    统一拦截处理(可框架)

2、细粒度权限:资源权限类型实例的管理。具体到相应数据集。例如:销售部操作、ycy用户信息操作  业务层处理

例如:user类   与  张三的关系

三、基于URL的拦截

3.1基础框架搭建

由于主要讲解权限框架,所以springMVC+mybatis的东西,不懂的同学请移步springMVC教程和mybatis教程。除此之外还有easyui的一些前端东西, 这个你懂且可以,本人一向不擅长前端,只是会用,要高端的js我也搞不出(也不建议搞java的人去攻前端)。建议框架选择:直接从我的git上面下载,或者用springmvc教程项目改。

3.2基于url拦截-用户认证实现

看图说话:绿色即是我们的用户认证,蓝色为权限控制。暂时我们只看认证

1、用户认证思路:通过用户身份和密码进行认证,如果认真通过,则保存在session里面。


接下来我们按照底层到页面开始开发:dao-mapper-service-controller-intercepter-web页面

3.2.1 建立service与mapper:完成认证

mapper:

SysUserMapper.java:

package com.ycy.mapper;

import java.util.List;

import com.ycy.model.SysUser;
import org.apache.ibatis.annotations.Param;

public interface SysUserMapper {
    /**
     *  根据用户查询用户系统信息
     * @param usercode
     * @return
     */
    List<SysUser> getSysUserByUserCode(String usercode);

}

mapper.xml

SysUserMapper.xml:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.ycy.mapper.SysUserMapper" >
  <resultMap id="BaseResultMap" type="com.ycy.model.SysUser" >
    <id column="id" property="id" jdbcType="VARCHAR" />
    <result column="usercode" property="usercode" jdbcType="VARCHAR" />
    <result column="username" property="username" jdbcType="VARCHAR" />
    <result column="password" property="password" jdbcType="VARCHAR" />
    <result column="salt" property="salt" jdbcType="VARCHAR" />
    <result column="locked" property="locked" jdbcType="CHAR" />
  </resultMap>
  <!--基础属性-->
  <sql id="Base_Column_List" >
    id, usercode, username, password, salt, locked
  </sql>
  <!--根据用户名查询系统用户-->
  <select id="getSysUserByUserCode" resultMap="BaseResultMap" parameterType="map" >
    select
    <include refid="Base_Column_List" />
    from sys_user
    WHERE  usercode=#{usercode}
  </select>
</mapper>

SysService:

package com.ycy.service;
import com.ycy.model.ActiveUser;
import java.util.List;

/**
 *
 * <p>Title: SysService</p>
 * <p>Description: 认证授权服务接口</p>
 */
public interface SysService {
	
	//根据用户的身份和密码 进行认证,如果认证通过,返回用户身份信息
	public ActiveUser authenticat(String userCode, String password) throws Exception;
	
	}

ItemsServiceImpl

package com.ycy.service.impl;

import java.util.List;

import com.ycy.Exception.CustomException;
import com.ycy.mapper.SysUserMapper;
import com.ycy.model.ActiveUser;
import com.ycy.model.SysUser;
import com.ycy.service.SysService;
import com.ycy.util.MD5;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;


/**
 * 
 * <p>Title: SysServiceImpl</p>
 * <p>Description:认证和授权的服务接口 </p>
 */
@Service
public class SysServiceImpl implements SysService {
	
	@Autowired
	private SysUserMapper sysUserMapper;


	@Override
	public ActiveUser authenticat(String userCode, String password)
			throws Exception {
		/**
	认证过程:
	根据用户身份(账号)查询数据库,如果查询不到用户不存在
	对输入的密码 和数据库密码 进行比对,如果一致,认证通过
		 */
		//根据用户账号查询数据库
		SysUser sysUser = this.findSysUserByUserCode(userCode);
		
		if(sysUser == null){
			//抛出异常
			throw new CustomException("用户账号不存在");
		}
		
		//数据库密码 (md5密码 )
		String password_db = sysUser.getPassword();
		
		//对输入的密码 和数据库密码 进行比对,如果一致,认证通过
		//对页面输入的密码 进行md5加密 
		String password_input_md5 = new MD5().getMD5ofStr(password);
		if(!password_input_md5.equalsIgnoreCase(password_db)){
			//抛出异常
			throw new CustomException("用户名或密码 错误");
		}
		//得到用户id
		String userid = sysUser.getId();
		//认证通过,返回用户身份信息
		ActiveUser activeUser = new ActiveUser();
		activeUser.setUserid(sysUser.getId());
		activeUser.setUsercode(userCode);
		activeUser.setUsername(sysUser.getUsername());//用户名称
		return activeUser;
	}

	//根据用户账号查询用户信息
	private SysUser findSysUserByUserCode(String userCode)throws Exception{
		List<SysUser> list = sysUserMapper.getSysUserByUserCode(userCode);
		if(list!=null && list.size()==1){
			return list.get(0);
		}
		return null;
	}

}

3.2.2 controller:完成数据认证与保存session

LoginController.java:

package com.ycy.controller;

import javax.servlet.http.HttpSession;

import com.ycy.Exception.CustomException;
import com.ycy.model.ActiveUser;
import com.ycy.service.SysService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * 
 * <p>Title: LoginController</p>
 * <p>Description: 登陆和退出</p>
 */
@Controller
public class LoginController {
	
	@Autowired
	private SysService sysService;
	//用户登陆提交方法
	@RequestMapping("/login")
	public String login(HttpSession session,String usercode,String password,String randomcode)throws Exception{

		//校验验证码
		//从session获取正确的验证码
		String validateCode = (String)session.getAttribute("validateCode");
		if(!randomcode.equals(validateCode)){
			//抛出异常:验证码错误
			throw new CustomException("验证码 错误 !");
		}
		//用户身份认证
		ActiveUser activeUser = sysService.authenticat(usercode, password);
		//记录session
		session.setAttribute("activeUser", activeUser);
		//重定向到商品查询页面
		return "redirect:/first";
	}
	
	//用户退出
	@RequestMapping("/logout")
	public String logout(HttpSession session)throws Exception{
		//session失效
		session.invalidate();
		//重定向到商品查询页面
		return "redirect:/items/queryItems";
		
	}
	

}

3.2.3用户身份认证拦截器:拥有权限验证

package com.ycy.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import com.ycy.model.ActiveUser;
import com.ycy.util.ResourcesUtil;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import java.util.List;

/**
 * 
 * <p>Title: HandlerInterceptor1</p>
 * <p>Description: 用户身份认证拦截器</p>
 */
public class LoginInterceptor implements HandlerInterceptor {

	//在执行handler之前来执行的
	//用于用户认证校验、用户权限校验
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		//得到请求的url
		String url = request.getRequestURI();
		//判断是否是公开 地址
		//实际开发中需要公开 地址配置在配置文件中
		//从配置中取逆名访问url
		List<String> open_urls = ResourcesUtil.gekeyList("config/anonymousURL");
		//遍历公开 地址,如果是公开 地址则放行
		for(String open_url:open_urls){
			if(url.indexOf(open_url)>=0){
				//如果是公开 地址则放行
				return true;
			}
		}
		//判断用户身份在session中是否存在
		HttpSession session = request.getSession();
		ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
		//如果用户身份在session中存在放行
		if(activeUser!=null){
			return true;
		}
		//执行到这里拦截,跳转到登陆页面,用户进行身份认证
		request.getRequestDispatcher("/pages/jsp/login.jsp").forward(request, response);
		
		//如果返回false表示拦截不继续执行handler,如果返回true表示放行
		return false;
	}
	//在执行handler返回modelAndView之前来执行
	//如果需要向页面提供一些公用 的数据或配置一些视图信息,使用此方法实现 从modelAndView入手
	public void postHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
		System.out.println("HandlerInterceptor1...postHandle");
		
	}
	//执行handler之后执行此方法
	//作系统 统一异常处理,进行方法执行性能监控,在preHandle中设置一个时间点,在afterCompletion设置一个时间,两个时间点的差就是执行时长
	//实现 系统 统一日志记录
	public void afterCompletion(HttpServletRequest request,
			HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		System.out.println("HandlerInterceptor1...afterCompletion");
	}

}

3.2.3easyUI等问题

关于easyui请前往easyui教程参考学习当然这里既然是学习之用,直接用源生的jsp界面也可以


3.3基于url拦截-用户认证实现测试

登录之后界面

关于数据库中的表字段,读者可以参考SysUserMapper.xml中的字段结构自行建表即可


--------摘录自ycy博客


小说《我是全球混乱的源头》

感觉本站内容不错,读后有收获?小额赞助,鼓励网站分享出更好的教程