easyjweb 用户权限
当执行AbstractCmdAction:execute过程中,在执行对应的方法前需要执行IActionCommandInterceptor前置拦截器(详见《easyjweb IWebAction介绍》AbstractCmdAction部分)。DefaultPermissionCheck是IActionCommandInterceptor接口的默认实现类,doBefore(method)方法增加了权限检验,doAfter(method)方法为空,需要在bean中配置才能使用。
如果欲执行的method满足以下三条件,则检验改角色对该method得权限,否则doBefore方法返回null
1、有类或接口注解@PermissionVerify且disable为FALSE(默认)
2、有方法注解@RoleVerify
3、property中配置com.easyjweb.permissionVerify为TRUE(默认为FALSE)
检验方法执行权限:
1、从容器中AuthorizationUtil实例,若不存在则检验成功(因为不需要执行检验)
2、若类有@PermissionVerify注解且roles不为空但当前用户不属于指定角色(见AuthorizationUtil),即无执行该方法权限,则检验失败
3、若方法有@RoleVerify注解且roles不为空但当前用户不属于指定角色,则检验失败
4、否则检验成功
验证成功则doBefore方法返回null,继续执行execute余下步骤;
验证失败则在response对象中添加LoginRequired==>true、Unauthorized==>true、Cache-Control==>no-cache;然后查找模块中findPage("PERMISSION_PAGE"),存在则返回该Page,否则返回classpath:com/easyjf/web/exception/permissionError.html
AuthorizationUtil接口是权限判断标签实用工具,有三个方法:
1、getUser():Object,得到用户
2、is(String roleName):boolean,根据名称判断用户角色,从而判断用户是否刻有该权限.roleName可以是单独的名称,大小写可以任意.可以包含空格等.
3、is(String operation, Object obj):boolean,判断一个用户是否对指定的对象有指定的操作权限
该接口不无直接实现类,需要用户自己定义,并需配置成一个bean。
下面是easyjweb角色权限的简单demo代码:
- PermissionAction:提供不同用户登录,将用户角色保存在session中,并为不太用角色提供相应服务
@PermissionVerify(disable=false, roles={/*空或者无注解允许所有人或者添加指定角色*/}, value="三种元素均为可选")
public class PermissionAction extends AbstractPageCmdAction {
// 以不同角色登录,将角色名保存到session中
public Page login(WebForm form) {
String role = (String) form.get("role");
if(role != null) {
ActionContext.getContext().getSession().setAttribute("role", role);
return page("method");
} else
return page("index");
}
@RoleVerify(roles={"none"}) // role有三种,随便设成none表示拒绝所有角色
public void doDeny() {
// 拒绝全部role访问
}
@RoleVerify(roles={}) // roles属性为空,或者不添加注解表示允许所有角色
public void doAccess() {
// 允许全部role访问
}
@RoleVerify(roles={"admin"})
public void doAdminAccess() {
// 只允许admin访问
}
@RoleVerify(roles={"admin", "user"})
public void doDenyGuest() {
// 拒绝游客访问
}
@Override
public Object doAfter(WebForm form, Module module) {
// 检验成功后才能达到此处
return page("access");
}
}
- AuthorizationUtil实现类,主要实现is(roleName)方法以检验用户角色
public class AuthorizationUtilImpl implements AuthorizationUtil {
@Override
public Object getUser() {
return null;
}
@Override
public boolean is(String roleName) {
String role = (String) ActionContext.getContext().getSession().getAttribute("role");
return roleName.equalsIgnoreCase(role);
}
@Override
public boolean is(String operation, Object obj) {
return false;
}
}
- 配置文件easyjf-web.xml
<easyjf-web> <framework-setting> <property name="com.easyjweb.defaultActionPackages">demo.action</property> </framework-setting> <modules> <module name="permission" action="demo.action.PermissionAction" path="/permission"> <page url="/permission/deny.html" name="PERMISSION_PAGE" type="template"/> </module> </modules> <beans> <bean name="authorization" class="demo.permission.AuthorizationUtilImpl" /> <bean name="permissionCheck" class="com.easyjf.web.core.support.DefaultPermissionCheck" /> </beans> </easyjf-web>
- 视图页面:WEB-INF/views/permission路径下的access.html,deny.html,index.html,method.html分别是访问成功,拒绝访问,登录,提供服务页面
附件包含该demo的代码