Struts2 权限验证
之前的Struts2项目通过再Sitemesh的母版页中使用Struts的if标签进行了session判断,使得未登录的用户不能看到页面,但是这 种现仅仅在view层进行,如果未登录用户直接在地址栏输入登录用户才能访问的地址,那么相应的action还是会执行,仅仅是不让用户看到罢了。这样显 然是不好的,所以研究了一下Struts2的权限验证。
权限最核心的是业务逻辑,具体用什么技术来实现就简单得多。
通常:用户与角色建立多对多关系,角色与业务模块构成多对多关系,权限管理在后者关系中。
对权限的拦截,如果系统请求量大,可以用Struts2拦截器来做,请求量小可以放在filter中。但一般单级拦截还不够,要做到更细粒度的权限控制,还需要多级拦截。
不大理解filter(过滤器)和interceptor(拦截器)的区别:
、拦截器是基于java的反射机制的,而过滤器是基于函数回调 。
、过滤器依赖与servlet容器,而拦截器不依赖与servlet容器 。
、拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求 起作用 。
、拦截器可以访问action上下文、值栈里的对象,而过滤器不能 。
、在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容 器初始化时被调用一次
权限验证的Filter实现
web.xml代码片段
<!-- authority filter 最好加在Struts2的Filter前面--> <filter> <filter-name>SessionInvalidate</filter-name> <filter-class>filter.SessionCheckFilter</filter-class> <init-param> <param-name>checkSessionKey</param-name> <param-value>loginName</param-value> </init-param> <init-param> <param-name>redirectURL</param-name> <param-value>/entpLogin.jsp</param-value> </init-param> <init-param> <param-name>notCheckURLList</param-name> <param-value>/entpLogin.jsp,/rois/loginEntp.action,/entpRegister.jsp,/test.jsp,/rois/registerEntp.action</param-value> </init-param> </filter> <!--过滤/rois命名空间下所有action --> <filter-mapping> <filter-name>SessionInvalidate</filter-name> <url-pattern>/rois/*</url-pattern> </filter-mapping> <!--过滤/jsp文件夹下所有jsp --> <filter-mapping> <filter-name>SessionInvalidate</filter-name> <url-pattern>/jsp/*</url-pattern> </filter-mapping>
SessionCheckFilter.java代码
package filter; import java.io.IOException; import java.util.HashSet; import java.util.Set; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; /** * 用于检测用户是否登陆的过滤器,如果未登录,则重定向到指的登录页面 配置参数 checkSessionKey 需检查的在 Session 中保存的关键字 * redirectURL 如果用户未登录,则重定向到指定的页面,URL不包括 ContextPath notCheckURLList * 不做检查的URL列表,以分号分开,并且 URL 中不包括 ContextPath */ public class SessionCheckFilter implements Filter { protected FilterConfig filterConfig = null; private String redirectURL = null; private Set<String> notCheckURLList = new HashSet<String>(); private String sessionKey = null; @Override public void destroy() { notCheckURLList.clear(); } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; HttpServletResponse response = (HttpServletResponse) servletResponse; HttpSession session = request.getSession(); if (sessionKey == null) { filterChain.doFilter(request, response); return; } if ((!checkRequestURIIntNotFilterList(request)) && session.getAttribute(sessionKey) == null) { response.sendRedirect(request.getContextPath() + redirectURL); return; } filterChain.doFilter(servletRequest, servletResponse); } private boolean checkRequestURIIntNotFilterList(HttpServletRequest request) { String uri = request.getServletPath() + (request.getPathInfo() == null ? "" : request.getPathInfo()); String temp = request.getRequestURI(); temp = temp.substring(request.getContextPath().length() + ); // System.out.println("是否包括:"+uri+";"+notCheckURLList+"=="+notCheckURLList.contains(uri)); return notCheckURLList.contains(uri); } @Override public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; redirectURL = filterConfig.getInitParameter("redirectURL"); sessionKey = filterConfig.getInitParameter("checkSessionKey"); String notCheckURLListStr = filterConfig .getInitParameter("notCheckURLList"); if (notCheckURLListStr != null) { System.out.println(notCheckURLListStr); String[] params = notCheckURLListStr.split(","); for (int i = ; i < params.length; i++) { notCheckURLList.add(params[i].trim()); } } } }
权限验证的Interceptor实现:
使用Interceptor不需要更改web.xml,只需要对struts.xml进行配置
struts.xml片段
<!-- 用户拦截器定义在该元素下 --> <interceptors> <!-- 定义了一个名为authority的拦截器 --> <interceptor name="authenticationInterceptor" class="interceptor.AuthInterceptor" /> <interceptor-stack name="defualtSecurityStackWithAuthentication"> <interceptor-ref name="defaultStack" /> <interceptor-ref name="authenticationInterceptor" /> </interceptor-stack> </interceptors> <default-interceptor-ref name="defualtSecurityStackWithAuthentication" /> <!-- 全局Result --> <global-results> <result name="error">/error.jsp</result> <result name="login">/Login.jsp</result> </global-results> <action name="login" class="action.LoginAction"> <param name="withoutAuthentication">true</param> <result name="success">/WEB-INF/jsp/welcome.jsp</result> <result name="input">/Login.jsp</result> </action> <action name="viewBook" class="action.ViewBookAction"> <result name="sucess">/WEB-INF/viewBook.jsp</result> </action>
AuthInterceptor.java代码
package interceptor; import java.util.Map; import com.opensymphony.xwork2.Action; import com.opensymphony.xwork2.ActionContext; import com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.AbstractInterceptor; public class AuthInterceptor extends AbstractInterceptor { private static final long serialVersionUID = -5114658085937727056L; private String sessionKey="loginName"; private String parmKey="withoutAuthentication"; private boolean excluded; @Override public String intercept(ActionInvocation invocation) throws Exception { ActionContext ac=invocation.getInvocationContext(); Map<?, ?> session =ac.getSession(); String parm=(String) ac.getParameters().get(parmKey); if(parm!=null){ excluded=parm.toUpperCase().equals("TRUE"); } String user=(String)session.get(sessionKey); if(excluded || user!=null){ return invocation.invoke(); } ac.put("tip", "您还没有登录!"); //直接返回 login 的逻辑视图 return Action.LOGIN; } }
使用自定义的default-interceptor的话有需要注意几点:
1.一定要引用一下Sturts2自带defaultStack。否则会用不了Struts2自带的拦截器。
2.一旦在某个包下定义了上面的默认拦截器栈,在该包下的所有 Action 都会自动增加权限检查功能。所以有可能会出现永远登录不了的情况。
解决方案:
.像上面的代码一样,在action里面增加一个参数表明不需要验证,然后在interceptor实现类里面检查是否不需要验证
.将那些不需要使用权限控制的 Action 定义在另一个包中,这个新的包中依然使用 Struts 原有的默认拦截器栈,将不会有权限控制功能。
3.Interceptor是针对action的拦截,如果知道jsp地址的话在URL栏直接输入JSP的地址,那么权限验证是没有效果滴!
解决方案:把所有page代码(jsp)放到WEB-INF下面,这个目录下的东西是“看不见”的
Struts2 权限验证的更多相关文章
- struts2学习笔记--拦截器(Interceptor)和登录权限验证Demo
理解 Interceptor拦截器类似于我们学过的过滤器,是可以在action执行前后执行的代码.是我们做web开发是经常使用的技术,比如权限控制,日志.我们也可以把多个interceptor连在一起 ...
- Struts2 自定义拦截器实例—登陆权限验证
实现一个登陆权限验证的功能 message.jsp: <body> message:${message } </body> login.jsp: <% request.g ...
- 基于 Annotation 拦截的 Spring AOP 权限验证方法
基于 Annotation 拦截的 Spring AOP 权限验证方法 转自:http://www.ibm.com/developerworks/cn/java/j-lo-springaopfilte ...
- Shiro权限验证说明
1.简介 shiro是一个安全框架,是Apache的一个子项目.shiro提供了:认证.授权.加密.会话管理.与web集成.缓存等模块. 1.1.模块介绍 Authentication:用户身份识别, ...
- ABP(现代ASP.NET样板开发框架)系列之18、ABP应用层——权限验证
点这里进入ABP系列文章总目录 ABP(现代ASP.NET样板开发框架)系列之18.ABP应用层——权限验证 ABP是“ASP.NET Boilerplate Project (ASP.NET样板项目 ...
- ASP.NET MVC View 和 Web API 的基本权限验证
ASP.NET MVC 5.0已经发布一段时间了,适应了一段时间,准备把原来的MVC项目重构了一遍,先把基本权限验证这块记录一下. 环境:Windows 7 Professional SP1 + Mi ...
- 2_MVC+EF+Autofac(dbfirst)轻型项目框架_用户权限验证
前言 接上面两篇 0_MVC+EF+Autofac(dbfirst)轻型项目框架_基本框架 与 1_MVC+EF+Autofac(dbfirst)轻型项目框架_core层(以登陆为例) .在第一篇中介 ...
- 从零开始学 Java - Spring AOP 实现用户权限验证
每个项目都会有权限管理系统 无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录.权限管理这些必不可少的业务逻辑.有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静态页面,就 ...
- 【Java EE 学习 35 下】【struts2】【struts2文件上传】【struts2自定义拦截器】【struts2手动验证】
一.struts2文件上传 1.上传文件的时候要求必须使得表单的enctype属性设置为multipart/form-data,把它的method属性设置为post 2.上传单个文件的时候需要在Act ...
随机推荐
- 拿走不谢!22 个 Android Studio 优秀插件汇总
Google 在2013年5月的I/O开发者大会推出了基于IntelliJ IDEA java ide上的Android Studio.AndroidStudio是一个功能齐全的开发工具,还提供了第三 ...
- css考核点整理(九)-有几种文字替换方式,之间的优缺点
有几种文字替换方式,之间的优缺点
- oracle过滤分割字符串自定义函数
该函数实现过滤前后的指定的字符串,诸如过滤分隔符等.可用于过滤字符串中的逗号分割符.特别说明:substr()函数支持从字符串倒数开始读取,例如: dbms_output.put_line( subs ...
- AS插件开发 RemoveButterKnife从构思到实现
ReomveButterKnife插件 这是一个用于移除代码中对ButterKnife使用的AS插件,接下来我们将从头开始讲讲这个插件的开发过程 地址是 https://github.com/u3sh ...
- 9.23 noip模拟试题
Problem 1 抓牛(catchcow.cpp/c/pas) [题目描述] 农夫约翰被通知,他的一只奶牛逃逸了!所以他决定,马上出发,尽快把那只奶牛抓回来. 他们都站在数轴上.约翰在N(O≤N ...
- C# 如何创建接口以及使用接口的简单Demo(转载!)
//No:1 首先,我们要封装一个接口,接口中不要实现具体的方法(说白了这就是一个架子而已!) using System;using System.Collections.Generic;using ...
- asp.net中ashx文件如何调用session
如果你要保证数据的安全性,你可以在ashx中使用session验证.如:你的index.aspx中使用jquery回调ashx数据,那么在index.aspx page_load时session[&q ...
- 添加Appicon的方法
1.将设计好的图片,拖拽到Groups&Files的Resources目录下: 2.修改Resources目录下的“工程名-info.plist”文件 3.修改该文件的Iconfile属性,填 ...
- 让div 实现 input效果
<div class="arcils-info" c /> .arcils-info { border: none; width: 100%; font-size: 1 ...
- hdoj 1892(二维树状数组)
Problem H Time Limit : 5000/3000ms (Java/Other) Memory Limit : 65535/32768K (Java/Other) Total Sub ...