Struts2拦截器登录验证实例

Struts2拦截器

Struts2拦截器的概念和Spring Mvc拦截器一样。

1.Struts2拦截器是在访问某个Action或Action的某个方法,字段之前或之后实施拦截,并且Struts2拦截器是可插拔的,拦截器是AOP的一种实现.

2.拦截器栈(Interceptor Stack)。Struts2拦截器栈就是将拦截器按一定的顺序联结成一条链。在访问被拦截的方法或字段时,Struts2拦截器链中的拦截器就会按其之前定义的顺序被调用。

使用拦截器的第一步:

自定义我的权限拦截器CheckPrivilegeInterceptor,这个拦截器继承自AbstractInterceptor这个抽象类,当然你可以实现Interceptor这个接口。

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.shizongger.oa.domain.User;

public class CheckPrivilegeInterceptor extends AbstractInterceptor {

  @Override
  public String intercept(ActionInvocation invocation) throws Exception {
    System.out.println("---拦截器未拦截之前---");
    String result = invocation.invoke();
    System.out.println("---拦截器拦截之后---");
    return result;
  }
}

自定义的拦截器要覆盖AbstractInterceptor抽象类的抽象方法intercept()方法,该方法是对所有的action进行拦截,String类型的返回值是我们将要返回的视图,如果要放行我们要拦截的action地址,那么代码如上所示。

使用拦截器的第二步:

配置struts的配置文件,主要是配置自定义的拦截器和配置拦截器栈。在struts.xml配置文件的package元素节点下添加以下配置:

<!-- 配置拦截器 -->
    <interceptors>
      <!-- 声明拦截器 -->
      <interceptor name="checkPrivilege" class="com.shizongger.oa.util.CheckPrivilegeInterceptor"></interceptor>

      <!-- 重新定义默认的拦截器栈 -->
      <interceptor-stack name="defaultStack">
        <interceptor-ref name="checkPrivilege"></interceptor-ref>
        <interceptor-ref name="defaultStack"></interceptor-ref>
      </interceptor-stack>
    </interceptors>

启动我的Tomcat服务器,当我在浏览器输入我的action地址时,都会被该拦截器的intercept拦截,默认是放行的,如果返回空字符串则因找不到对应的视图而报错。

登录和权限拦截

拦截器在Web开发中应用场景最多的地方就是登录验证和权限验证了。对于那些未登录系统的用户,一般我们都把他所有的请求打回到登录页面。而对于那些已经登录系统的用户,如果你不具有相应的权限,那么将无法访问我们的url。

首先在监听器中最一些系统做一些监听任务。

public class MyServletContextListener implements ServletContextListener {

  Log log = LogFactory.getLog(this.getClass());

  @Autowired
  private PrivilegeService privilegeService;

  @Override
  public void contextDestroyed(ServletContextEvent sce) {
    log.debug("---销毁监听器---");
  }

  @Override
  public void contextInitialized(ServletContextEvent sce) {
    ServletContext sc = sce.getServletContext();
    ApplicationContext ac = WebApplicationContextUtils.getWebApplicationContext(sc);
    PrivilegeService privilegeService = (PrivilegeService) ac.getBean("privilegeServiceImpl");
    List<Privilege> topPrivilegeList = privilegeService.findTopList();
    //将权限list放到比application作用域还大的ServletContext
    sc.setAttribute("topPrivilegeList", topPrivilegeList);

    // 准备数据:allPrivilegeUrls
    Collection<String> allPrivilegeUrls = privilegeService.getAllPrivilegeUrls();
    sc.setAttribute("allPrivilegeUrls", allPrivilegeUrls);
  }
}

监听器的任务是从Web容器中获得Spring的容器ApplicationContext,再从ApplicationContext中获得权限服务类privilegeService,这个service主要作用有两点,其一是获得有多的顶级权限列表;其二是获得所以权限列表。将这两者放入到application里边。

接下来就可以在我们的拦截器中写登录拦截的逻辑代码了。

  public String intercept(ActionInvocation invocation) throws Exception {
    //获取信息,从session中取出当前登录用户
    User user = (User) ActionContext.getContext().getSession().get("user");
    String nameSpace = invocation.getProxy().getNamespace();
    String actionName = invocation.getProxy().getActionName();
    //对应的权限地址
    String privilegeUrl = nameSpace + actionName;

    //如果未登录
    if(user == null) {
      //如果是去登录的页面和登录请求,就放行
      if("/user_login".equals(privilegeUrl)) {
        return invocation.invoke();
      //否则跳转到登录页面
      } else {
        return "loginUI";
      }
    } else {
      //如果已经登录则判断是否有权限
      if(user.hasPrivilegeByUrl(privilegeUrl)) {
        return invocation.invoke();
      } else {
        return "noPrivilegeError";
      }
    }
  }

处理的逻辑是,如果未登录,则判断是不是要去登录,如果用户正在登录则放行,其他请求都要跳转到loginUI登录页面。如果已经登录,则判断正在登录的用户是否具有相对应的权限。而判断是否具有权限的方法在我的user.java里面。

/**
 * 用户实体
 * @author shizongger
 * @date 2017/03/24
 */
public class User {
  private Log log = LogFactory.getLog(this.getClass());

  private Long id;

  private String loginName;

  private String password;

  private String name;

  private String gender;

  private String phoneNumber;

  private String email;

  private String description;

  private Department department;

  private Set<Role> roles;

  //getter/settter方法

  /**
   * 判断用户是否用该权限
   * @param privilegename 权限名称
   * @return
   */
  public boolean hasPrivilegeByName(String privilegeName) {
    log.debug("权限名称:" + privilegeName);

    //从本用户中取出所有角色
    for(Role role : roles) {
      //从角色遍历出所有权限
      Set<Privilege> privilegeList = role.getPrivileges();
      for(Privilege privilege : privilegeList) {
        if(privilegeName.equals(privilege.getName())) {
          log.debug(privilegeName + "---有权限---");
          return true;
        }
      }
    }

    log.debug(privilegeName + "---没有权限---");
    return false;
  }

  /**
   * 判断本用户是否有指定URL的权限
   *
   * @param privUrl
   * @return
   */
  public boolean hasPrivilegeByUrl(String privUrl) {
    // 超级管理有所有的权限
    if (isAdmin()) {
      return true;
    }

    // >> 去掉后面的参数
    int pos = privUrl.indexOf("?");
    if (pos > -1) {
      privUrl = privUrl.substring(0, pos);
    }
    // >> 去掉UI后缀
    if (privUrl.endsWith("UI")) {
      privUrl = privUrl.substring(0, privUrl.length() - 2);
    }

    // 如果本URL不需要控制,则登录用户就可以使用
    Collection<String> allPrivilegeUrls = (Collection<String>) ActionContext.getContext().getApplication().get("allPrivilegeUrls");
    if (!allPrivilegeUrls.contains(privUrl)) {
      return true;
    } else {
      // 普通用户要判断是否含有这个权限
      for (Role role : roles) {
        for (Privilege priv : role.getPrivileges()) {
          if (privUrl.equals(priv.getUrl())) {
            return true;
          }
        }
      }
      return false;
    }
  }

  /**
   * 判断本用户是否是超级管理员
   *
   * @return
   */
  public boolean isAdmin() {
    return "admin".equals(loginName);
  }
}

hasPrivilegeByUrl()方法为根据url判断用户是否具有权限的代码逻辑,此逻辑分为三部分。其一,如果登录的用户是超级管理员admin,则不用验证权限,该用户具有所有的权限。其二,如果登录的用户基本功能部分不用验证,需要验证的功能才需要验证。基础功能模块比如首页,退出,登录页面等都不要再验证。

权限的service实现类如下:

@Service
public class PrivilegeServiceImpl extends DaoSupportImpl<Privilege> implements PrivilegeService {

  @Override
  @Transactional
  public List<Privilege> findTopList() {
    List<Privilege> topPrivletList = this.getSession()
    .createQuery("FROM Privilege p WHERE p.parent IS NULL")
    .list();

    return topPrivletList;
  }

  @Override
  @Transactional
  public Collection<String> getAllPrivilegeUrls() {
    return getSession().createQuery(//
        "SELECT DISTINCT p.url FROM Privilege p WHERE p.url IS NOT NULL")//
        .list();
  }

}

未登录的状态直接输入主页面将自动弹回登录页面,如图所示

在登录状态下权限如图:

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • 使用MyEclipse 开发struts2框架实现登录功能(结构教程)

    1.首先建立Web Project,名称为:struts2 ,然后选择Java EE6.0,点击Finish. 2.右击"struts"选择MyEclipse->Add Struts Capabilities,然后弹出如下弹窗,再选择Struts 2.1.选择完成即可点击Finish. 3.建完后项目目录如下图所示: 4.建立一个Login类,继承ActionSupport类(点击Superclass的Browse,选择搜索ActionSupport) 5.定义username,

  • JQuery+Ajax+Struts2+Hibernate框架整合实现完整的登录注册

    最近在仿造一个书城的网站: http://www.yousuu.com ,UI直接拿来用,前端后端自己写,目前大部分功能已经实现, 就把具体的 登录注册功能 拿来分享一下.PS:又写登录注册会不会被人喷啊=.= 一.开发环境的部署 程序结构: BootStrap+Ajax+Struts2+Hibernate+MySql 仅供参考:能实现相关功能即可 操作系统:ubuntu 14.10 前端框架:BootStrap   注:此框架只是为了实现用户界面,和具体功能无关 数据库:mysql-5.5 数

  • 详解Struts2中对未登录jsp页面实现拦截功能

    Struts2中拦截器大家都很经常使用,但是拦截器只能拦截action不能拦截jsp页面.这个时候就有点尴尬了,按道理来说没登录的用户只能看login界面不能够通过输入URL进行界面跳转,这显然是不合理的.这里介绍Struts2中Filter实现jsp页面拦截的功能.(有兴趣的人可以去研究Filter过滤器的其它用法,因为利用过滤器也可以实现action拦截的功能) 下面直接上代码,边看边分析实现步骤和原理. 1.web.xml中的配置信息: <filter> <filter-name&

  • 防止未登录用户操作—基于struts2拦截器的简单实现

    一般,我们的web应用都是只有在用户登录之后才允许操作的,也就是说我们不允许非登录认证的用户直接访问某些页面或功能菜单项.我还记得很久以前我的做法:在某个jsp页面中查看session中是否有值(当然,在用户登录逻辑中会将用户名或者用户对象存入session中),如果session中用户信息为空,那么redirect 到登录页面.然后在除了登录页面外的其它所有需要验证用户已登录的页面引入这个jsp . 比如,我们将检查用户是否登录的代码放入一个jsp页面中,如 checkUser.jsp <%@

  • 基于struts2和hibernate实现登录和注册功能

    本文实例为大家分享了struts2和hibernate实现登录和注册功能,供大家参考,具体内容如下 1.该项目使用MySQL数据库,数据库名为test,表名info,如图所示: 2.配置web.xml(Struts2使用) <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/jav

  • struts2与cookie 实现自动登录和验证码验证实现代码

    主要介绍struts2与cookie结合实现自动登录 struts2与cookie结合时要注意采用.action 动作的方式实现cookie的读取 struts2的jar包  链接数据库文件 db.properties dbDriver = oracle.jdbc.driver.OracleDriver url = jdbc:oracle:thin:@localhost:1521:orcl userName=test password=password dao层类代码,通过登录名获取用户信息 p

  • Struts2拦截器 关于解决登录的问题

    拦截器的工作原理如图 拦截器是由每一个action请求(request)都包装在一系列的拦截器的内部,通过redirectAction再一次发送请求. 拦截器可以在Action执行直线做相似的操作也可以在Action执行直后做回收操作. 我们可以让每一个Action既可以将操作转交给下面的拦截器,Action也可以直接退出操作返回客户既定的画面. 接下来我们该如何定义一个拦截器: 自定义一个拦截器如下: 1.实现Interceptor接口或者继承AbstractInterceptor抽象类. 2

  • struts2+jquery组合验证注册用户是否存在

    注册界面 register.jsp 复制代码 代码如下: <%@ page language="java" contentType="text/html; charset=UTF-8"%> <html> <head> <title>注册界面</title> <script type="text/javascript" src="js/jquery-1.6.js"

  • Struts2开发环境搭建 附简单登录功能实例

    首先是搭建Struts2环境. 第一步 下载Struts2 去Struts官网 http://struts.apache.org/ 下载Struts2组件. 截至目前,struts2最新版本为2.3.1.3,下载struts-2.3.16.3-all.zip,解压,放着. 第二步 新建Web Project并导入jar包 在MyEclispe中新建Web Project,然后找到解压的Struts2包,在里面apps文件夹下找到struts2-blank.war,解压这个WAR文件,将里面WEB

  • Java struts2 validate用户登录校验功能实现

    首先贴一下搭配的环境: 配置: Eclipse4.3.2 jdk1.7_45 Mysql 5.0+ 然后切入正题: 1.login.jsp 主要是使用OGNL 标签 也可使用html form表单,调用LoginAction.action,以post 方式传输. 在LoginaAction 经过判断,然后会有提示信息,需要用到 <s:fielderror/>来显示. <%@ taglib uri="/struts-tags" prefix="s"%

随机推荐