【SSH项目实战】国税协同平台-17.权限鉴定&解决登录嵌套

我们上一次完成了登录功能和session用户信息的保存和注销。下面我们完成登陆后有关权限鉴定的功能。

我们系统分了5大子系统，粗粒度的分了5个权限。

用户只要有对应系统的权限才可以访问相应的子系统。超级管理员可以访问所有子模块，一般的用户可能只能访问“我的空间”。

我们下面就来做一个权限鉴定，我们画个图来设计一下:


接下来编码实现:
我们要修改我们过滤器的代码

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
		FilterChain chain) throws IOException, ServletException {
	HttpServletRequest request=(HttpServletRequest)servletRequest;
	HttpServletResponse response=(HttpServletResponse)servletResponse;
	String uri=request.getRequestURI();
	//判断当前请求地址是否是登录地址
	if(!uri.contains("sys/login_")){
		//非登录请求
		if(request.getSession().getAttribute(Constant.USER)!=null){
			//说明已经登录过
			//判断是否访问纳税服务子系统
			if(uri.contains("/tax/")){
				//说明访问纳税服务子系统
				User user=(User)request.getSession().getAttribute(Constant.USER);
				PermissionCheck pc=new PermissionCheckImpl();
				if(pc.isAccessible(user,"nsfw")){
					//说明有权限，放行
					chain.doFilter(request, response);
				}else{
					//没有权限，跳转到没有权限提示界面
					response.sendRedirect(request.getContextPath()+"/sys/login_toNoPermissionUI.action");
				}
					
			}else{
				//非访问纳税服务子系统，直接放行
				chain.doFilter(request, response);
			}
			
		}else{
			//没有登录,跳转到登录界面
			response.sendRedirect(request.getContextPath()+"/sys/login_toLoginUI.action");
		}
	}else{
		//登录请求，直接放行
		chain.doFilter(request, response);
	}
}

其中新添加了权限检查类PermissionCheck(分为接口和实现类)，此类代码为:
接口:

package cn.edu.hpu.tax.core.permission;

import cn.edu.hpu.tax.user.entity.User;

public interface PermissionCheck {
	/**
	 *判断用户是否有code对应的权限
	 * @param user 用户
	 * @param code 子系统的权限标识
	 * @return true or false
	 */
	public boolean isAccessible(User user,String code);
}

实现类:

package cn.edu.hpu.tax.core.permission.impl;

import javax.annotation.Resource;

import cn.edu.hpu.tax.core.permission.PermissionCheck;
import cn.edu.hpu.tax.role.entity.Role;
import cn.edu.hpu.tax.role.entity.RolePrivilege;
import cn.edu.hpu.tax.role.service.RoleService;
import cn.edu.hpu.tax.user.entity.User;
import cn.edu.hpu.tax.user.service.UserService;

public class PermissionCheckImpl implements PermissionCheck {


	@Resource
	private UserService userService;
	@Resource
	private RoleService roleService;
	
	@Override
	public boolean isAccessible(User user, String code) {
		//1.获取用户的所有角色
		String[] ids=userService.getRoleIdByUserId(user.getId());
		Role role=null;
		//2.根据每个角色对应的所有权限进行对比
		for (int i = 0; i < ids.length; i++) {
			role=roleService.findObjectById(ids[i]);
			for (RolePrivilege rp:role.getRolePrivileges()) {
				//对比是否有code对应的权限
				if(code.equals(rp.getId().getCode())){
					//说明有权限，返回true
					return true;
				}
			}
		}
		return false;
	}


}

在LoginAction中添加跳转到没有权限提示界面的方法:

//跳转到没有权限提示界面
public String toNoPermissionUI(){
	return "noPermissionUI";
}

然后在struts中配置这个界面:

<result name="noPermissionUI">/WEB-INF/jsp/noPermissionUI.jsp</result>

没有权限访问模块的noPermissionUI.jsp界面代码:

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
  <head>
    <title>没有权限</title>
  </head>
  
  <body>
    	对不起！您没有访问此功能的权限；请联系系统管理员。    
    	<a href="javascript:history.go(-1)">《《返回</a>
  </body>
</html>

我们不能每一次点击一个功能的时候就进行这样一次检查，因为每次都要进行查询数据库来查询用户的角色信息，我们要在登录的时候就去查询完成这个角色，然后之后每次鉴定的时候就无需再次进数据库查询:
我们在User中添加private List<role> roles;这个属性以及get和set方法。

然后在LoginAction的login方法中登录之后就将用户的所有权限信息都保存在用户的roles属性中(需要注入roleService)，然后再将用户放入session，以后就可以利用session中的信息，无需再次查询数据库:

//登录
public String login(){
	if(user!=null){
		if(StringUtils.isNoneBlank(user.getAccount())
				&&StringUtils.isNoneBlank(user.getPassword())){
			//根据用户的账号和密码查询用户列表
			List<User> list=userService.findUserByAccountAndPassword(user.getAccount(),user.getPassword());
			if(list!=null&&list.size()>0){//说明登录成功
				//1、登录成功
				User user=list.get(0);
				//1.1、根据用户id查询用户的所有角色信息
				String[] ids=userService.getRoleIdByUserId(user.getId());
				List<Role> rolelist=new ArrayList<Role>();
				for (int i = 0; i < ids.length; i++) {
					rolelist.add(roleService.findObjectById(ids[i]));
				}
				user.setRoles(rolelist);
				//1.2、将用户信息保存到session中
				ServletActionContext.getRequest().getSession().setAttribute(Constant.USER, user);
				//1.3、将用户登录记录到日志文件
				Log log=LogFactory.getLog(getClass());
				log.info("用户名称为:"+user.getName()+"的用户登录了系统");
				//1.4、重定向跳转到首页
				return "home";
			}else{
				loginResult="账号或密码不正确!";
			}
		}else{
			loginResult="账号或密码不能为空!";
		}
	}else{
		loginResult="请输入账号和密码!";
	}
	return toLoginUI();
}

然后修改PermissionCheckImpl的检查代码，让其不再去查询数据库。

package cn.edu.hpu.tax.core.permission.impl;

import java.util.List;

import cn.edu.hpu.tax.core.permission.PermissionCheck;
import cn.edu.hpu.tax.role.entity.Role;
import cn.edu.hpu.tax.role.entity.RolePrivilege;
import cn.edu.hpu.tax.user.entity.User;

public class PermissionCheckImpl implements PermissionCheck {

	@Override
	public boolean isAccessible(User user, String code) {
		//1.获取用户的所有角色
		List<Role> rolelist=user.getRoles();
		Role role=null;
		//2.根据每个角色对应的所有权限进行对比
		for (int i = 0; i < rolelist.size(); i++) {
			role=rolelist.get(i);
			for (RolePrivilege rp:role.getRolePrivileges()) {
				//对比是否有code对应的权限
				if(code.equals(rp.getId().getCode())){
					//说明有权限，返回true
					return true;
				}
			}
		}
		return false;
	}


}

我们来验证一下我们的权限鉴定是否可行:
我们没有给“李向阳”设定访问纳税服务的权限，所以当我们登录李向阳的账号之后点击“纳税服务”模块时，弹出下列窗口:


当我们使用其它有此权限的账号登录的时候，可以进入“纳税服务”模块。
至此，我们的权限鉴定功能完成。

还有一个问题，我们删除用户的时候是物理删除(当然后期不是物理删除)，我们删除用户之后还需要将用户所有的角色信息给删除，防止脏数据。
所以我们修改UserServiceImpl的delete方法:

@Override
public void delete(Serializable id) {
	userDao.delete(id);
	//删除用户对应的所有权限
	userDao.deleteUserRoleByUserId(id.toString());
}

这样，当我们删除用户的时候，就会连用户的角色一起删除。

2.登录嵌套的解决
还有一个问题，当我们登陆之后过了好一段时间没有操作，点击某个功能的时候会出现这种情况:

这就是所谓的登录嵌套，是什么原因呢？
原因就是我们的session是有时间限制的，当session失效的时候，点击frame框架里的侧边栏，在右边主界面显示的就是我们的功能模块页面，但是由于我们设置了过滤器，我们的过滤器检测到用户的session不存在，所以就会跳转至登录界面，就造成了上面那种情况。

解决办法:
就是让登录界面知道自己在哪里(浏览器里还是frame里)
找到我们的登录jsp，在其中添加此代码:

//解决子框架嵌套的问题
if(window != window.parent){
	window.parent.location.reload(true);
}

也就是当此界面不是在主窗口的时候，我们就刷新主窗口的地址。

至此，我们的权限鉴定和解决嵌套登录完成。

工程源代码下载:http://download.csdn.net/detail/u013517797/9246763

转载请注明出处：http://blog.csdn.net/acmman/article/details/49680255