本小结讲解,点击菜单进行页面跳转,看下图,点击管理员列表后会被认证拦截器首先拦截,验证用户是否登录,如果登录就放行,紧接着会被权限验证拦截器再次拦截,拦截的时候,会根据URL地址上找到对应的方法,然后查询方法上标注的自定义权限注解,紧接着根据当前登录用户查询出所有权限列表,然后进行验证,如果包含对应注解中的权限代码,就放行,否则提示或者跳转到404.

 /**

     * 进入管理用户列表页面

     * @return

     */

    @AccessPermissionsInfo("admin:list")

    @RequestMapping(value = "/admin-user-list.action",method = RequestMethod.GET)

    public String adminUserListPage(HttpSession session,Model model){

        //获取session用户是否存在

        AdminUser adminUser = (AdminUser)session.getAttribute("adminUser");

        if(adminUser!=null){

            //根据用户名查询出该用户所有拥有的权限集合,

            //这个权限集合查询出来了的集合是一个String集合,查询出来只有一列数据permission.code

            List<String> permissions =

                    permissionService.findAllPermissionByLoginName(adminUser.getLoginName());

            model.addAttribute("permissions",permissions);

        }

        return "admin-user-list";

    }

拦截器的拦截过程如下图:

AuthorizationInterceptor类:

package com.supin51.interceptor;

import com.supin51.domain.AdminUser;

import com.supin51.service.PermissionService;

import com.supin51.utils.AccessPermissionsInfo;

import org.apache.commons.logging.Log;

import org.apache.commons.logging.LogFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.List;

/**

 * @Author:ShaoJiang

 * @description: 权限认证拦截器

 * @Date: created in 下午1:43 2019/1/21

 * @Modified By:

 */

public class AuthorizationInterceptor implements HandlerInterceptor {

    private static final Log logger = LogFactory.getLog(AuthorizationInterceptor.class);

    @Autowired

    private PermissionService permissionService;

    /*

      * return true 才会继续执行下列两个方法(请求继续),否则整个请求结束

      * 该方法主要进行拦截处理,该方法在Controller处理之前调用,

      * */

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response, Object handler) throws Exception {

        //获取请求的路径进行判断

        String servletUrl = request.getServletPath();

        logger.info("权限认证拦截器:preHandle-------->"+servletUrl);

        //是否授权,默认为未授权

        boolean isAuthorize = false;

        //如果方法上有权限注释

        if(handler.getClass().isAssignableFrom(HandlerMethod.class))

        {

            AccessPermissionsInfo permissionsInfo =

                    ((HandlerMethod)handler).getMethodAnnotation(AccessPermissionsInfo.class);

            if (permissionsInfo==null||permissionsInfo.value()=="")

            {

                isAuthorize = true;

                logger.info("权限认证拦截器:preHandle-------->不需要权限,可以访问");

            }else

            {

                String permission = permissionsInfo.value().toString();

                logger.info("权限认证拦截器:preHandle-------->需要权限:"+permission+"才可以访问");

                //获取session中的用户信息

                AdminUser adminUser = (AdminUser)request.getSession().getAttribute("adminUser");

                //如果用户已登录,放行,否则拦截

                if(adminUser!=null){

                    //根据用户名查询出该用户所有拥有的权限集合

                    List<String> permissions =

                            permissionService.findAllPermissionByLoginName(adminUser.getLoginName());

                    //判断权限集合中的URL字段是否包含请求的路径,如果包含就放行,否则引导至提示(权限不足,请联系管理员)页面

                    for(String s:permissions)

                    {

                        if(permission.contains(s)){

                            isAuthorize = true;

                            logger.info("权限认证拦截器:preHandle-------->当前登录用户:"+adminUser.getLoginName()+"有"+permission+"访问权限,验证通过");

                            break;

                        }

                    }

                }

            }

        }

        if(!isAuthorize){

            logger.info("权限认证拦截器:preHandle-------->权限不足或者无法访问该资源");

            //转发至404页面

            request.getRequestDispatcher("/404").forward(request,response);

        }

        return isAuthorize;

    }

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

        logger.info("权限认证拦截器:postHandle-------->");

    }

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

        logger.info("权限认证拦截器:afterCompletion-------->");

    }

}

自定义注解类

package com.supin51.utils;

import java.lang.annotation.*;

/**

 * @Author:ShaoJiang

 * @description:自定义权限注解,用于注解在controller方法上,在拦截器中拦截用户是否有权限访问

 * @Date: created in 下午8:44 2019/1/22

 * @Modified By:

 */

@Inherited

@Target(ElementType.METHOD)//用于方法上的注解

@Retention(RetentionPolicy.RUNTIME)

public @interface AccessPermissionsInfo {

    /**

     * 权限名称值

     * @return 权限名称

     */

    String value() default "";

}

持久层PermissionMapper.xml

<!--这个方法获取的权限返回列只有一个code字段,主要用在了拦截器和页面上的按钮权限控制显示-->

    <!--对应PermissionDao接口中的findAllPermissionByLoginName方法-->

    <select id="findAllPermissionByLoginName" parameterType="string" resultType="string" >

        SELECT tp.code

        FROM t_admin ta

        LEFT JOIN t_admin_role tar

             ON tar.adminId = ta.id

        LEFT JOIN t_role tr

             ON tar.roleId = tr.id

        LEFT JOIN t_role_permission trp

             ON trp.roleId = tr.id

        LEFT JOIN t_permission tp

             ON tp.id = trp.permissionId

        WHERE ta.loginName = #{loginName}

             AND tp.url IS NOT NULL

    </select>

页面成功跳转显示以后,在页面通过了EL表达式和jstl标签控制三级菜单权限按钮的显示,如下图:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>

<c:set var="permiss" value="${permissions}"/>

            <c:if test="${fn:contains(permiss,'admin:add')}" >

                <a href="javascript:;" onclick="admin_add('添加管理员','/admin/admin-user-add.action',null,'800px','500px')" class="btn btn-primary radius">

                <i class="Hui-iconfont Hui-iconfont-user-add"></i> 添加</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:edit')}" >

                <a href="javascript:;" onclick="admin_edit('编辑管理员','/admin/admin-user-edit.action',null,'800px','500px')" class="btn btn-primary radius">

                <i class="Hui-iconfont Hui-iconfont-edit"></i> 编辑</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:delete')}" >

                <a href="javascript:;" onclick="deleteAll()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-del"></i> 删除</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:enable')}" >

                <a href="javascript:;" onclick="admin_start()" class="btn btn-success radius">

                <i class="Hui-iconfont Hui-iconfont-jiesuo"></i> 解锁</a>

            </c:if>

            <c:if test="${fn:contains(permiss,'admin:disable')}" >

                <a href="javascript:;" onclick="admin_stop()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-suoding "></i> 冻结</a>

            </c:if>

             <c:if test="${fn:contains(permiss,'admin:pwdReset')}" >

                <a href="javascript:;" onclick="admin_user_password_reset()" class="btn btn-danger radius">

                <i class="Hui-iconfont Hui-iconfont-zhongzuo"></i> 重置密码</a>

             </c:if>

使用tom账户测试权限拦截,可以看到tom的角色在未分组里,而未分组里面什么权限也没有,当tom登录后,也看不到任何的菜单,如果强行通过网址URL进行方法,认证拦截器首先会进行验证是否登录,如果登录就放行到下一个拦截器,权限拦截器开始验证用户tom是否具有这个访问url的方法的访问权限,如果有就放行,如果没有就拦截。如下图所示:

到本小节结束,登录认证和权限验证已经全部完成。下一小节将讲解添加用户(添加用户的同时也要给用户分配角色,然后插入的到用户和角色的中间表)和添加角色(添加角色的同时也要给角色分配权限,然后插入到角色和权限的中间表)。

 

JavaEE权限管理系统的搭建(六)--------使用拦截器实现菜单URL的跳转权限验证和页面的三级菜单权限按钮显示的更多相关文章

  1. JavaEE权限管理系统的搭建(四)--------使用拦截器实现登录认证和apache shiro密码加密

    RBAC 基于角色的权限访问控制(Role-Based Access Control)在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限.这就极大地简化了权限的管理.在一个 ...

  2. IDEA项目搭建十一——添加拦截器、忽略URL大小写、启动事件

    程序启动时如果需要添加某些初始化代码可以使用以下事件处理 import org.springframework.context.ApplicationEvent; import org.springf ...

  3. JavaEE权限管理系统的搭建(一)--------项目中用到的知识点概括

    转战Java有一段时间了,.net 已不再开发的新的工程,基本上在维护,最近大半年时间在学习Java,今天抽空将学习的到的知识,应用到了一个权限管理系统的小项目中,特此记录一下.代码如有不对之处,希望 ...

  4. JavaEE权限管理系统的搭建(三)--------springmvc和mabatis整合环境搭建

    本节介绍如何环境的搭建和配置: 首先要在父工程引入jar包依赖: <!-- 通过属性定义指定jar的版本 --> <properties> <spring.version ...

  5. JavaEE权限管理系统的搭建(八)--------角色的增删改

    如下图所示,添加角色的同时,要给角色分配权限菜单,关于权限数的显示,我实现了两种方式,普通方式和Ztree方式, 普通方式展示树: 主要代码部分: /** * 进入角色添加页面 * @param mo ...

  6. JavaEE权限管理系统的搭建(五)--------RBAC权限管理中的权限菜单的显示

    上一小节实现了登录的实现,本小节实现登录后根据用户名查询当前用户的角色所关联的所有权限,然后进行菜单的显示.登录成功后,如下图所示,管理设置是一级菜单,管理员列表,角色管理,权限管理是二级菜单. 先来 ...

  7. ABP module-zero +AdminLTE+Bootstrap Table+jQuery权限管理系统第十六节--SignalR与ABP框架Abp.Web.SignalR及扩展

    SignalR简介 SignalR是什么? ASP.NET SignalR 是为 ASP.NET 开发人员提供的一个库,可以简化开发人员将实时 Web 功能添加到应用程序的过程.实时 Web 功能是指 ...

  8. Spring+SpringMVC+MyBatis深入学习及搭建(十七)——SpringMVC拦截器

    转载请注明出处:http://www.cnblogs.com/Joanna-Yan/p/7098753.html 前面讲到:Spring+SpringMVC+MyBatis深入学习及搭建(十六)--S ...

  9. JavaEE开发之SpringMVC中的自定义拦截器及异常处理

    上篇博客我们聊了<JavaEE开发之SpringMVC中的路由配置及参数传递详解>,本篇博客我们就聊一下自定义拦截器的实现.以及使用ModelAndView对象将Controller的值加 ...

随机推荐

  1. java scoket http TCP udp

    http://blog.csdn.net/kongxx/article/details/7259436 TCP/UDP: 齐全:http://www.blogjava.net/Reg/archive/ ...

  2. bzoj 5303: [Haoi2018]反色游戏

    Description Solution 对于一个有偶数个黑点的连通块,只需要任意两两配对,并把配对点上的任一条路径取反,就可以变成全白了 如果存在奇数个黑点的连通块显然无解,判掉就可以了 如果有解, ...

  3. embedded tomcat运行java web,Unable to compile class for JSP

    环境 eclipse:4.5.2 jre:1.8 java project compiler:1.8 embedded tomcat:7.0.32 可以正常启动,但是访问时,会报错. HTTP Sta ...

  4. Java Socket, DatagramSocket, ServerSocketChannel io代码跟踪

    Java Socket, DatagramSocket, ServerSocketChannel这三个分别对应了,TCP, udp, NIO通信API封装.JDK封装了,想跟下代码,看下具体最后是怎么 ...

  5. Nodejs中使用异步流程控制Async

    首先,我们都知道,Node基于事件驱动的异步I/O架构,所谓异步就是非阻塞,说白了就是一个事件执行了,我不必等待它执行完成后我才能执行下一个事件.所以在Node环境中的模块基本都是异步的,上一篇说到我 ...

  6. 提取url中参数的方法(转换成json格式)

    还是直接上代码吧. //将url中的参数获取到并抓换成json格式 function serilizeUrl(url){ var urlObject={}; //1.正则匹配是不是以?结尾 if(/\ ...

  7. vue1.0 与 Vue2.0的一些区别 及用法

    1.Vue2.0的模板标记外必须使用元素包起来: eg:Vue1.0的写法 <!DOCTYPE html> <html> <head> <meta chars ...

  8. HTML 5入门知识(二)

    使用HTML 5结构标签 <article> <article>标签可以在网页中定义独立的内容,包括文章.博客和用户评论等.一个article元素通常有它自己的标题,一般放在一 ...

  9. Qt之QSS(样式表语法)

    http://blog.csdn.net/liang19890820/article/details/51691212 版权声明:进步始于交流,收获源于分享!纯正开源之美,有趣.好玩.靠谱...作者: ...

  10. ContentProvider启动浅析

    一.自己的理解 对于content provide的启动我是这样认为的,要用ContentResolver去获得一个contentProvider,在这的获得的过程中, 1.如果本应用之前有conte ...