文档章节

利用自定义注解在SpringMVC中实现自定义权限检查

Dylan1009
 Dylan1009
发布于 2017/08/27 21:24
字数 706
阅读 24
收藏 3

先描述一下应用场景,基于Spring MVC的WEB程序,需要对每个Action进行权限判断,当前用户有权限则允许执行Action,无权限要出错提示。权限有很多种,比如用户管理权限、日志审计权限、系统配置权限等等,每种权限还会带参数,比如各个权限还要区分读权限还是写权限。

想实现统一的权限检查,就要对Action进行拦截,一般是通过拦截器来做,可以实现HandlerInterceptor或者HandlerInterceptorAdapter,但是每个Action都有不同的权限检查,比如getUsers要用户管理的读权限,deleteLogs要日志审计的写权限,只定义一个拦截器很难做到,为每种权限定义一个拦截器又太乱,此时可以通过自定义注解来标明每个Action需要什么权限,然后在单一的拦截器里就可以统一检查了。

具体这么做,先实现一个自定义注解,名叫AuthCheck:

package com.test.web;

import java.lang.annotation.Documented;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;
import java.lang.annotation.ElementType;
import java.lang.annotation.RetentionPolicy;

@Documented
@Target(ElementType.METHOD)
@Inherited
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthCheck {
    /**
     * 权限类型
     * @return
     */
    String type() default "";
    /**
     * 是否需要写权限
     * @return
     */
    boolean write() default false;
}

这个注解里包含2个属性,分别用于标定权限的类型与读写要求。然后为需要检查权限的Action加注解,此处以getUsers和deleteLogs为例,前者要求对用户管理有读权限,后者要求对日志审计有写权限,注意@AuthCheck的用法:

@AuthCheck(type = "user", write = false)
@RequestMapping(value = "/getUsers", method = RequestMethod.POST)
@ResponseBody
public JsonResponse getUsers(@RequestBody GetUsersRequest request) {
    //具体实现,略
}

@AuthCheck(type = "log", write = true)
@RequestMapping(value = "/deleteLogs", method = RequestMethod.POST)
@ResponseBody
public JsonResponse deleteLogs(@RequestBody DeleteLogsRequest request) {
    //具体实现,略
}

最后要实现拦截器:

package com.test.web;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

/**
 * 全局拦截器
 */
public class ActionInterceptor implements HandlerInterceptor {
    /**
     * 前置拦截,用于检查身份与权限
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //从传入的handler中检查是否有AuthCheck的声明
        HandlerMethod method = (HandlerMethod)handler;
        AuthCheck auth = method.getMethodAnnotation(AuthCheck.class);
        
        //找到了,取出定义的权限属性,结合身份信息进行检查
        if(auth != null) {
            String type = auth.type();
            boolean write = auth.write();
            
            //根据type与write,结合session/cookie等身份信息进行检查
            //如果权限检查不通过,可以输出特定信息、进行跳转等操作
            //并且一定要return false,表示被拦截的方法不用继续执行了
        }
      
        //检查通过,返回true,方法会继续执行
        return true;
    }
    
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView model) throws Exception {
    }
    
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception exception) throws Exception {
    }
}

拦截器要生效,还要配置一下:

<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/**" />
        <mvc:exclude-mapping path="/js/**" />
        <mvc:exclude-mapping path="/css/**" />
        <bean class="com.test.web.ActionInterceptor" />
    </mvc:interceptor>
</mvc:interceptors>

OK,搞定收工。

本文转载自:http://www.tuicool.com/articles/6z2uIvU

共有 人打赏支持
Dylan1009
粉丝 4
博文 190
码字总数 129187
作品 0
广州
程序员
私信 提问
利用自定义注解在SpringMVC中实现自定义权限检查

先描述一下应用场景,基于Spring MVC的WEB程序,需要对每个Action进行权限判断,当前用户有权限则允许执行Action,无权限要出错提示。权限有很多种,比如用户管理权限、日志审计权限、系统配...

BoyTNT
2016/11/07
0
0
springboot + shiro 权限注解、请求乱码解决、统一异常处理

springboot + shiro 权限注解、请求乱码解决、统一异常处理 前篇 后台权限管理系统 相关: spring boot + mybatis + layui + shiro后台权限管理系统 springboot + shiro之登录人数限制、登录...

wyait
06/06
0
0
《Spring Boot极简教程》第16章 Spring Boot安全集成Spring Security

第16章 Spring Boot安全集成Spring Security 开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop...

程序员诗人
2017/04/17
0
0
springmvc 实现注解式权限验证

对大部分系统来说都需要权限管理来决定不同用户可以看到哪些内容,那么如何在Spring MVC中实现权限验证呢?当然我们可以继续使用servlet中的过滤器Filter来实现。但借助于Spring MVC中的act...

岸芷汀兰
2015/05/22
0
0
补习系列-springboot 参数校验详解

目录 目标 一、PathVariable 校验 二、方法参数校验 三、表单对象校验 四、RequestBody 校验 五、自定义校验规则 六、异常拦截器 参考文档 目标 对于几种常见的入参方式,了解如何进行校验以...

美码师
07/30
0
0

没有更多内容

加载失败,请刷新页面

加载更多

防止Tweak

什么是tweak? 英文意思为捏, 拧,扭,稍稍调整(机器、系统等)。 依据维基百科的定义,tweak指的是对电子系统进行轻微调整来增强其功能的工具;在ios中tweak特指那些能够增强其它可执行程...

HeroHY
15分钟前
0
0
linux中常用标识---不定期更新

LINUX常用标识符: 1 & && | || &: 表示进程在后台运行 例如 redis-server & 不是所有后台运行都是& 比如es ./bin/elasticsearch -d es后台运行&&: 第一个命令执行成功后 才执行后面的命令...

geek土拨鼠
53分钟前
1
0
Mybatis 中$与#的区别,预防SQL注入

一直没注意Mybatis 中$与#的区别,当然也是更习惯使用#,没想到避免了SQL注入,但是由于要处理项目中安全渗透的问题,不可避免的又遇到了这个问题,特此记录一下。 首先是共同点: 在mybatis...

大雁南飞了
今天
0
0
Spring Clould负载均衡重要组件:Ribbon中重要类的用法

Ribbon是Spring Cloud Netflix全家桶中负责负载均衡的组件,它是一组类库的集合。通过Ribbon,程序员能在不涉及到具体实现细节的基础上“透明”地用到负载均衡,而不必在项目里过多地编写实现...

Ala6
今天
0
0
让 linux 删除能够进入回收站

可以参考这个贴子 https://blog.csdn.net/F8qG7f9YD02Pe/article/details/79543316 从那个git地址 把saferm.sh下载下来 把saferm.sh复制到 /usr/bin 目录下 在用~/目下 的.bashrc 下加一句这...

shzwork
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部