一、
接着上一篇的说 权限(一)--用户、权限组以及权限的分配
权限的控制分为两块:
1.页面的控制(没用权限的不让他看到页面)
2.过滤控制(就算知道url,没有权限也不让进)
在项目中,都是由一个人来负责权限部分的编写,然后其他人的活中多少会涉及到一些权限相关的。
所以,权限控制的通用性是非常重要的(总不能每次写到就找写权限部分的那个人,问他怎么弄)。
测试demo包:
权限控制Demo
二、过滤器
在访问url之前,进行一次过滤,同时查看当前用户是否有访问该url的权限。
为了保证通用性,这里使用一个map来记录url与权限的映射关系。
当其他开发者编写到需要权限控制的页面时,只需要将页面的url以及对应需要哪种权限的映射对放入到数据库中。
在应用发布的时候,加载映射到内存即可。
在过滤的时候:
1.通过url查看映射表,判断当前url是否需要权限,如果需要,需要什么权限
2.通过查找到的权限,与session中保存的权限比,看session中是否有需要的权限
session的权限查找用的比较多,所以使用HashSet实现O1时间查找。
-
package com.privilege.filter;
-
-
import java.io.IOException;
-
import java.util.HashSet;
-
-
import javax.servlet.Filter;
-
import javax.servlet.FilterChain;
-
import javax.servlet.FilterConfig;
-
import javax.servlet.ServletException;
-
import javax.servlet.ServletRequest;
-
import javax.servlet.ServletResponse;
-
import javax.servlet.http.HttpServletRequest;
-
import javax.servlet.http.HttpServletResponse;
-
-
import com.privilege.utils.PrivilegeUrlMapping;
-
-
public class PrivilegeFilter implements Filter {
-
-
private static String CONTEXT_PATH = null;
-
-
@Override
-
public void destroy() {
-
-
}
-
-
@SuppressWarnings("unchecked")
-
@Override
-
public void doFilter(ServletRequest req, ServletResponse resp,
-
FilterChain chain) throws IOException, ServletException {
-
HttpServletRequest request = (HttpServletRequest) req;
-
HttpServletResponse response = (HttpServletResponse) resp;
-
-
String requestPath = request.getRequestURI();
-
String target = requestPath.replace(CONTEXT_PATH, "");
-
-
// 如果不需要权限,放行
-
if (!PrivilegeUrlMapping.contains(target)) {
-
chain.doFilter(request, response);
-
return;
-
}
-
-
Object p = request.getSession().getAttribute("privilege");
-
// 如果session无记录,直接不给过
-
if (p == null) {
-
defaultRedirect(response);
-
return;
-
}
-
HashSet<Integer> privleges = (HashSet<Integer>) p;
-
// 查找映射关系表
-
Integer code = PrivilegeUrlMapping.getPrivilegeCode(target);
-
// 查看该用户是否包含此url的权限
-
if (privleges.contains(code)) {
-
chain.doFilter(request, response);
-
return;
-
}
-
-
// 权限不足,重定向到登录界面
-
defaultRedirect(response);
-
-
}
-
-
private void defaultRedirect(HttpServletResponse response)
-
throws IOException {
-
response.sendRedirect(CONTEXT_PATH + "/login.jsp");
-
}
-
-
@Override
-
public void init(FilterConfig config) throws ServletException {
-
CONTEXT_PATH = config.getServletContext().getContextPath();
-
}
-
-
}
三、页面处理
同样是为了实现通用,这里使用一个自定义标签
设想是这样的
<p:privilege target="2"></p:privilege>
使用这个一个标签,将需要权限判断的内容放入到其中,然后指定需要哪种权限。
自定义标签java代码:
-
package com.privilege.tag;
-
-
import java.io.IOException;
-
import java.util.HashSet;
-
-
import javax.servlet.jsp.JspException;
-
import javax.servlet.jsp.tagext.BodyTagSupport;
-
-
public class PrivilegeTag extends BodyTagSupport {
-
-
private Integer target;
-
-
-
@Override
-
public int doEndTag() throws JspException {
-
Integer code = getTarget();
-
Object p = pageContext.getSession().getAttribute("privilege");
-
if (p == null) {
-
return SKIP_BODY;
-
}
-
HashSet<Integer> privilege = (HashSet<Integer>) p;
-
//如果session中的privilege含有该权限,则显示其中的内容
-
//否则跳过
-
if (privilege.contains(code)) {
-
try {
-
pageContext.getOut().print(bodyContent.getString());
-
} catch (IOException e) {
-
e.printStackTrace();
-
}
-
return EVAL_PAGE;
-
}
-
return SKIP_BODY;
-
}
-
-
public Integer getTarget() {
-
return target;
-
}
-
-
public void setTarget(Integer target) {
-
this.target = target;
-
}
-
-
}
自定义标签配置文件(放在WEB-INF下):
-
<?xml version="1.0" encoding="UTF-8" ?>
-
-
<taglib xmlns="http://java./xml/ns/javaee" xmlns:xsi="http://www./2001/XMLSchema-instance"
-
xsi:schemaLocation="http://java./xml/ns/javaee http://java./xml/ns/javaee/web-jsptaglibrary_2_1.xsd"
-
version="2.1">
-
-
<tlib-version>1.2</tlib-version>
-
<short-name>p</short-name>
-
<uri>http://java./jsp/jstl/privilege</uri>
-
-
-
-
<tag>
-
<name>privilege</name>
-
<tag-class>com.privilege.tag.PrivilegeTag</tag-class>
-
<body-content>JSP</body-content>
-
<attribute>
-
<name>target</name>
-
<required>yes</required>
-
</attribute>
-
</tag>
-
-
</taglib>
四、jsp页面
1.包含taglib
-
<%@ taglib prefix="p" uri="http://java./jsp/jstl/privilege"%>
2.内容
-
<body>
-
<p:privilege target="1">
-
<div>权限1能够看到</div>
-
${user.username}
-
</p:privilege>
-
-
<p:privilege target="2">
-
<div>权限2能够看到</div>
-
${user.username}
-
</p:privilege>
-
-
<p:privilege target="3">
-
<div>权限3能够看到</div>
-
${user.username}
-
</p:privilege>
-
</body>
五、测试
好了,亲测好使。。。
下载地址:
权限控制Demo
记得查看readme.txt文件
|