自定义注解+拦截器实现权限控制
今天刚学习了通过自定义注解+拦截器实现权限控制,自己花了点时间整理,发到网站同网友交流分享。
一、定义一个自定义注解类
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
/**
* 自定义注解
* @author grace
*
*/
@Retention(RetentionPolicy.RUNTIME)
public @interface Limit{
String module(); //模块名称
String privilege(); //操作名称
}
二、建好所需要的表
#权限组表 CREATE TABLE `sys_role` ( `id` varchar(36), #编号 `remark` TEXT, #备注 `name` VARCHAR(100) DEFAULT NULL, #名称 PRIMARY KEY (`id`) )
#操作表 CREATE TABLE sys_popedom ( popedomModule VARCHAR(30), #模块名称 popedomPrivilege VARCHAR(30), #操作名称 sort INTEGER(11), #排序 title VARCHAR(200), #提示 popedomName VARCHAR(200), #标题 remark TEXT, #说明 PRIMARY KEY(popedomModule,popedomPrivilege) )
#操作权限表 CREATE TABLE sys_popedom_privilege ( roleId VARCHAR(36), #权限组编号 popedomModule VARCHAR(30), #模块名称 popedomPrivilege VARCHAR(30), #操作名称 PRIMARY KEY(roleId,popedomModule,popedomPrivilege) )
解释下以上3个表的作用:
1.权限组表:定义了一个权限,权限有id,name和remark。
2.操作表:该表相当于是你这个项目里所有的权限。popedomModule代表一个大的功能模块,popedomPrivilege代表一个模块下的具体操作:常见的有增删改查,可参考下图理解。
3.操作权限表:该表是权限组所对应的模块和操作。例子:如下图的roleId为8af0897545e4c91b0145e4cd385d0002,在权限组表中对应的是系统管理员权限组(见上上图),该权限组拥有的模块和操作名称在下图第二三列,可对应上图知道功能。说明:系统管理员权限组在当前系统中,只拥有下图所示的模块为city和code的所有操作权限,没有模块为company下的任何操作权限。通过将用户分配到不同的权限组,和设置权限组的拥有的模块和操作,就可以实现权限控制。
三、定义上面三个表所对应的类和*.hbm.xml(如果需要)
权限组表:
/*
* SysRole:权限组表
*/
@SuppressWarnings("serial")
public class SysRole implements java.io.Serializable {
private String id;
private String name;
private String remark;
public String getId() {
return id;
}
public void setId(String id) {
this.id = id;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public String getRemark() {
return remark;
}
public void setRemark(String remark) {
this.remark = remark;
}
}
注:因为在操作表(sys_popedom)和权限操作表(sys_popedom_privilege)中都为联合主键。因此在这里,我对这两个类都使用:新建一个类用来存放联合主键。
操作表:
/*
* 操作表
*/
@SuppressWarnings("serial")
public class SysPopedom implements java.io.Serializable{
/*
* CREATE TABLE sys_popedom
(
popedomModule VARCHAR(30), #模块名称
popedomPrivilege VARCHAR(30), #操作名称
sort INTEGER(11), #排序
title VARCHAR(200), #提示
popedomName VARCHAR(200), #标题
remark TEXT, #说明
PRIMARY KEY(popedomModule,popedomPrivilege)
)
*/
private SysPopedomId id;//主键 OID
private Integer sort;
private String title;
private String popedomName;
private String remark;
public SysPopedomId getId() {
return id;
}
public void setId(SysPopedomId id) {
this.id = id;
}
public Integer getSort() {
return sort;
}
public void setSort(Integer sort) {
this.sort = sort;
}
public String getTitle() {
return title;
}
public void setTitle(String title) {
this.title = title;
}
public String getPopedomName() {
return popedomName;
}
public void setPopedomName(String popedomName) {
this.popedomName = popedomName;
}
public String getRemark() {
return remark;
}
public void setRemark(String remark) {
this.remark = remark;
}
}
/**
* 操作表中的联合主键类
* @author grace
*
*/
@SuppressWarnings("serial")
public class SysPopedomId implements java.io.Serializable {
private String popedomModule;
private String popedomPrivilege;
public String getPopedomModule() {
return popedomModule;
}
public void setPopedomModule(String popedomModule) {
this.popedomModule = popedomModule;
}
public String getPopedomPrivilege() {
return popedomPrivilege;
}
public void setPopedomPrivilege(String popedomPrivilege) {
this.popedomPrivilege = popedomPrivilege;
}
@Override
public int hashCode() {
final int prime = 31;
int result = 1;
result = prime * result
+ ((popedomModule == null) ? 0 : popedomModule.hashCode());
result = prime
* result
+ ((popedomPrivilege == null) ? 0 : popedomPrivilege.hashCode());
return result;
}
@Override
public boolean equals(Object obj) {
if (this == obj)
return true;
if (obj == null)
return false;
if (getClass() != obj.getClass())
return false;
final SysPopedomId other = (SysPopedomId) obj;
if (popedomModule == null) {
if (other.popedomModule != null)
return false;
} else if (!popedomModule.equals(other.popedomModule))
return false;
if (popedomPrivilege == null) {
if (other.popedomPrivilege != null)
return false;
} else if (!popedomPrivilege.equals(other.popedomPrivilege))
return false;
return true;
}
}
操作权限表:
/**
* 操作权限表
* @author grace
*
*/
@SuppressWarnings("serial")
public class SysPopedomPrivilege implements java.io.Serializable {
/*
* CREATE TABLE sys_popedom_privilege
* (
* roleId VARCHAR(36), #权限组编号
* popedomModule VARCHAR(30), #模块名称
* popedomPrivilege VARCHAR(30), #操作名称
* PRIMARY KEY(roleId,popedomModule,popedomPrivilege)
* )
*/
private SysPopedomPrivilegeId id;
public SysPopedomPrivilegeId getId() {
return id;
}
public void setId(SysPopedomPrivilegeId id) {
this.id = id;
}
}
/**
* 操作权限表的联合主键类
* @author grace
*
*/
@SuppressWarnings("serial")
public class SysPopedomPrivilegeId implements java.io.Serializable {
private String roleId;
private String popedomModule;
private String popedomPrivilege;
public String getRoleId() {
return roleId;
}
public void setRoleId(String roleId) {
this.roleId = roleId;
}
public String getPopedomModule() {
return popedomModule;
}
public void setPopedomModule(String popedomModule) {
this.popedomModule = popedomModule;
}
public String getPopedomPrivilege() {
return popedomPrivilege;
}
public void setPopedomPrivilege(String popedomPrivilege) {
this.popedomPrivilege = popedomPrivilege;
}
@Override
public int hashCode() {
final int prime = 31;
int result = 1;
result = prime * result
+ ((popedomModule == null) ? 0 : popedomModule.hashCode());
result = prime
* result
+ ((popedomPrivilege == null) ? 0 : popedomPrivilege.hashCode());
result = prime * result + ((roleId == null) ? 0 : roleId.hashCode());
return result;
}
@Override
public boolean equals(Object obj) {
if (this == obj)
return true;
if (obj == null)
return false;
if (getClass() != obj.getClass())
return false;
final SysPopedomPrivilegeId other = (SysPopedomPrivilegeId) obj;
if (popedomModule == null) {
if (other.popedomModule != null)
return false;
} else if (!popedomModule.equals(other.popedomModule))
return false;
if (popedomPrivilege == null) {
if (other.popedomPrivilege != null)
return false;
} else if (!popedomPrivilege.equals(other.popedomPrivilege))
return false;
if (roleId == null) {
if (other.roleId != null)
return false;
} else if (!roleId.equals(other.roleId))
return false;
return true;
}
}
如果需要*.hbm.xml则进行配置。
四、写自定义拦截器
import javax.servlet.http.HttpServletRequest;
import org.apache.struts2.ServletActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.MethodFilterInterceptor;
/**
* 自定义拦截器
* @author grace
*
*/
@SuppressWarnings("serial")
public class LimitInterceptor extends MethodFilterInterceptor{
public String doIntercept(ActionInvocation invocation) throws Exception {
//获取请求的action对象
Object action=invocation.getAction();
//获取请求的方法的名称
String methodName=invocation.getProxy().getMethod();
//获取action中的方法的封装类(action中的方法没有参数)
Method method=action.getClass().getMethod(methodName, null);
//获取request对象
HttpServletRequest request=ServletActionContext.getRequest();
//检查注解
boolean flag=isCheckLimit(request,method);
if(!flag){
//没有权限,通过struts2转到事先定义好的页面
return "popmsg_popedom";
}
//有权限,可以调用action中的方法
String returnvalue=invocation.invoke();
return returnvalue;
}
public boolean isCheckLimit(HttpServletRequest request, Method method) {
if(method==null){
return false;
}
//获取当前的登陆用户
SysUser sysUser=SessionUtils.getSysUserFormSession(request);
if(sysUser==null){
return false;
}
//如果用户的权限组为空
if(sysUser.getSysRole()==null){
return false;
}
//获取当前登陆用户的权限组id
String roleId=sysUser.getSysRole().getId();
//处理注解
/*
* @Limit(module="group",privilege="list")
public String list(){
....
}
*/
//判断用户请求的method上面是否存在注解
boolean isAnnotationPresent= method.isAnnotationPresent(Limit.class);
//不存在注解
if(!isAnnotationPresent){
return false;
}
//存在注解,拿到由Limit类写的注解
Limit limit=method.getAnnotation(Limit.class);
//获取注解上的值
String module=limit.module(); //模块名称
String privilege=limit.privilege(); //操作名称
/**
* 如果登陆用户的权限组id+注解上的@Limit(module="group",privilege="list")
* * 在sys_popedom_privilege表中存在 flag=true;
* * 在sys_popedom_privilege表中不存在 flag=false;
*/
boolean flag=false;
//通过自己封装的方法拿到操作权限的业务层对象
ISysPopedomPrivilegeService sysPopedomPrivilegeService=
(ISysPopedomPrivilegeService)ServiceProvinder.getService(ISysPopedomPrivilegeService.SERVICE_NAME);
//查询sys_popedom_privilege表中的所有的数据
//因为后面用到二级缓存,因此这里直接查询出所有的操作权限,而不是通过登陆用户的权限组来查询
List<SysPopedomPrivilege> list=sysPopedomPrivilegeService.findAllSysPopedomPrivileges();
if(list!=null&&list.size()>0){
for(int i=0;i<list.size();i++){
SysPopedomPrivilege s=list.get(i);
if(s!=null){
//判断登陆用户是否拥有该方法的权限:如果登陆用户的roleId和登陆用户访问的方法
//的注释中的module和privilege(例如@Limit(module="group",privilege="list")),这三个字段
//在sys_popedom_privilege表中有记录与之对应,则代表该用户拥有权限访问此方法
if(roleId.equals(s.getId().getRoleId())&&module.equals(s.getId().getPopedomModule())
&&privilege.equals(s.getId().getPopedomPrivilege())){
flag=true;
break;
}
}
}
}
return flag;
}
}
五、在struts.xml中配置自定义拦截器和没有权限时访问的页面。
<interceptors> <!-- 声明拦截器 --> <interceptor name="limitInterceptor" class="cn.grace.interceptor.LimitInterceptor"></interceptor> <interceptor-stack name="limitStack"> <interceptor-ref name="defaultStack" /> <interceptor-ref name="limitInterceptor"> <!-- 配置不被拦截的方法 --> <param name="excludeMethods">isLogin,logout,top,left</param> </interceptor-ref> </interceptor-stack> </interceptors> <!-- struts2运行时,执行的拦截器栈 --> <default-interceptor-ref name="limitStack" /> <global-results> <!-- 转发到没有权限的页面 --> <result name="popmsg_popedom">/WEB-INF/page/popmsg_popedom.jsp</result> </global-results>
六、通过在Action的方法中进行注释,实现权限控制。
import cn.grace.annotation.Limit;
public class testUserAction {
/** 用户添加页面 */
@Limit(module="user",privilege="add")
public String add(){
return "add";
}
/** 用户添加 **/
@Limit(module="user",privilege="save")
public String save(){
return "save";
}
/** 用户删除 **/
@Limit(module="user",privilege="delete")
public String delete(){
return "delete";
}
/** 用户修改页面 **/
@Limit(module="user",privilege="edit")
public String edit() {
return "edit";
}
/** 用户修改 **/
@Limit(module="user",privilege="update")
public String update() {
return "update";
}
/** 用户列表 (查询) */
@Limit(module="user",privilege="list")
public String list() {
return "list";
}
}
至此,权限控制实现完毕。
七、整个权限控制的功能实现概要为:
例子:3个不同权限的用户
1.系统管理的权限id(roleId)为:8af0897545e4c91b0145e4cd385d0002;而在sys_popedom_privilege表中,roleId为:8af0897545e4c91b0145e4cd385d0002,拥有所有模块和操作,则系统管理员拥有所有模块的所有操作权限。
2.部门经理的权限id(roleId)为:8af09d7845fe6ef90145fe70a0a80001;而在sys_popedom_privilege表中,roleId为:8af09d7845fe6ef90145fe70a0a80001,拥有部门模块的所有操作(9个),则部门经理拥有部门模块的所有9个操作权限,但没有其他(例如city和code模块)模块的操作权限。
3.小明的权限id(roleId)为:8af0897545e4c91b0145e4cd65b30003;而在sys_popedom_privilege表中,roleId为:8af0897545e4c91b0145e4cd65b30003,仅拥有部门模块的部分操作(比部门经理比少了list和edit操作),则小明拥有部门模块下的部分操作权限。如下图,其中roleId为8af0897545e4c91b0145e4cd65b30003对应的模块和操作只有下图前7行。
总结:自定义拦截器类会将当前登陆用户的roleId(上文中没有给出User表)和用户要访问的方法的@Limit注释中的module和privilege,共三个字段,与sys_popedom_privilege表中的三个字段进行比较,存在相应的记录,则表示用户有权限。否则,代表用户没有权限。