Struts2拦截器登录验证实例
struts2拦截器
struts2拦截器的概念和spring mvc拦截器一样。
1.struts2拦截器是在访问某个action或action的某个方法,字段之前或之后实施拦截,并且struts2拦截器是可插拔的,拦截器是aop的一种实现.
2.拦截器栈(interceptor stack)。struts2拦截器栈就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,struts2拦截器链中的拦截器就会按其之前定义的顺序被调用。
使用拦截器的第一步:
自定义我的权限拦截器checkprivilegeinterceptor,这个拦截器继承自abstractinterceptor这个抽象类,当然你可以实现interceptor这个接口。
import com.opensymphony.xwork2.actioncontext;
import com.opensymphony.xwork2.actioninvocation;
import com.opensymphony.xwork2.interceptor.abstractinterceptor;
import com.shizongger.oa.domain.user;
public class checkprivilegeinterceptor extends abstractinterceptor {
@override
public string intercept(actioninvocation invocation) throws exception {
system.out.println("---拦截器未拦截之前---");
string result = invocation.invoke();
system.out.println("---拦截器拦截之后---");
return result;
}
}
自定义的拦截器要覆盖abstractinterceptor抽象类的抽象方法intercept()方法,该方法是对所有的action进行拦截,string类型的返回值是我们将要返回的视图,如果要放行我们要拦截的action地址,那么代码如上所示。
使用拦截器的第二步:
配置struts的配置文件,主要是配置自定义的拦截器和配置拦截器栈。在struts.xml配置文件的package元素节点下添加以下配置:
<!-- 配置拦截器 -->
<interceptors>
<!-- 声明拦截器 -->
<interceptor name="checkprivilege" class="com.shizongger.oa.util.checkprivilegeinterceptor"></interceptor>
<!-- 重新定义默认的拦截器栈 -->
<interceptor-stack name="defaultstack">
<interceptor-ref name="checkprivilege"></interceptor-ref>
<interceptor-ref name="defaultstack"></interceptor-ref>
</interceptor-stack>
</interceptors>
启动我的tomcat服务器,当我在浏览器输入我的action地址时,都会被该拦截器的intercept拦截,默认是放行的,如果返回空字符串则因找不到对应的视图而报错。
登录和权限拦截
拦截器在web开发中应用场景最多的地方就是登录验证和权限验证了。对于那些未登录系统的用户,一般我们都把他所有的请求打回到登录页面。而对于那些已经登录系统的用户,如果你不具有相应的权限,那么将无法访问我们的url。
首先在监听器中最一些系统做一些监听任务。
public class myservletcontextlistener implements servletcontextlistener {
log log = logfactory.getlog(this.getclass());
@autowired
private privilegeservice privilegeservice;
@override
public void contextdestroyed(servletcontextevent sce) {
log.debug("---销毁监听器---");
}
@override
public void contextinitialized(servletcontextevent sce) {
servletcontext sc = sce.getservletcontext();
applicationcontext ac = webapplicationcontextutils.getwebapplicationcontext(sc);
privilegeservice privilegeservice = (privilegeservice) ac.getbean("privilegeserviceimpl");
list<privilege> topprivilegelist = privilegeservice.findtoplist();
//将权限list放到比application作用域还大的servletcontext
sc.setattribute("topprivilegelist", topprivilegelist);
// 准备数据:allprivilegeurls
collection<string> allprivilegeurls = privilegeservice.getallprivilegeurls();
sc.setattribute("allprivilegeurls", allprivilegeurls);
}
}
监听器的任务是从web容器中获得spring的容器applicationcontext,再从applicationcontext中获得权限服务类privilegeservice,这个service主要作用有两点,其一是获得有多的*权限列表;其二是获得所以权限列表。将这两者放入到application里边。
接下来就可以在我们的拦截器中写登录拦截的逻辑代码了。
public string intercept(actioninvocation invocation) throws exception {
//获取信息,从session中取出当前登录用户
user user = (user) actioncontext.getcontext().getsession().get("user");
string namespace = invocation.getproxy().getnamespace();
string actionname = invocation.getproxy().getactionname();
//对应的权限地址
string privilegeurl = namespace + actionname;
//如果未登录
if(user == null) {
//如果是去登录的页面和登录请求,就放行
if("/user_login".equals(privilegeurl)) {
return invocation.invoke();
//否则跳转到登录页面
} else {
return "loginui";
}
} else {
//如果已经登录则判断是否有权限
if(user.hasprivilegebyurl(privilegeurl)) {
return invocation.invoke();
} else {
return "noprivilegeerror";
}
}
}
处理的逻辑是,如果未登录,则判断是不是要去登录,如果用户正在登录则放行,其他请求都要跳转到loginui登录页面。如果已经登录,则判断正在登录的用户是否具有相对应的权限。而判断是否具有权限的方法在我的user.java里面。
/**
* 用户实体
* @author shizongger
* @date 2017/03/24
*/
public class user {
private log log = logfactory.getlog(this.getclass());
private long id;
private string loginname;
private string password;
private string name;
private string gender;
private string phonenumber;
private string email;
private string description;
private department department;
private set<role> roles;
//getter/settter方法
/**
* 判断用户是否用该权限
* @param privilegename 权限名称
* @return
*/
public boolean hasprivilegebyname(string privilegename) {
log.debug("权限名称:" + privilegename);
//从本用户中取出所有角色
for(role role : roles) {
//从角色遍历出所有权限
set<privilege> privilegelist = role.getprivileges();
for(privilege privilege : privilegelist) {
if(privilegename.equals(privilege.getname())) {
log.debug(privilegename + "---有权限---");
return true;
}
}
}
log.debug(privilegename + "---没有权限---");
return false;
}
/**
* 判断本用户是否有指定url的权限
*
* @param privurl
* @return
*/
public boolean hasprivilegebyurl(string privurl) {
// 超级管理有所有的权限
if (isadmin()) {
return true;
}
// >> 去掉后面的参数
int pos = privurl.indexof("?");
if (pos > -1) {
privurl = privurl.substring(0, pos);
}
// >> 去掉ui后缀
if (privurl.endswith("ui")) {
privurl = privurl.substring(0, privurl.length() - 2);
}
// 如果本url不需要控制,则登录用户就可以使用
collection<string> allprivilegeurls = (collection<string>) actioncontext.getcontext().getapplication().get("allprivilegeurls");
if (!allprivilegeurls.contains(privurl)) {
return true;
} else {
// 普通用户要判断是否含有这个权限
for (role role : roles) {
for (privilege priv : role.getprivileges()) {
if (privurl.equals(priv.geturl())) {
return true;
}
}
}
return false;
}
}
/**
* 判断本用户是否是超级管理员
*
* @return
*/
public boolean isadmin() {
return "admin".equals(loginname);
}
}
hasprivilegebyurl()方法为根据url判断用户是否具有权限的代码逻辑,此逻辑分为三部分。其一,如果登录的用户是超级管理员admin,则不用验证权限,该用户具有所有的权限。其二,如果登录的用户基本功能部分不用验证,需要验证的功能才需要验证。基础功能模块比如首页,退出,登录页面等都不要再验证。
权限的service实现类如下:
@service
public class privilegeserviceimpl extends daosupportimpl<privilege> implements privilegeservice {
@override
@transactional
public list<privilege> findtoplist() {
list<privilege> topprivletlist = this.getsession()
.createquery("from privilege p where p.parent is null")
.list();
return topprivletlist;
}
@override
@transactional
public collection<string> getallprivilegeurls() {
return getsession().createquery(//
"select distinct p.url from privilege p where p.url is not null")//
.list();
}
}
未登录的状态直接输入主页面将自动弹回登录页面,如图所示
在登录状态下权限如图:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。