Struts2攔截器登入驗證

Struts2攔截器登入驗證

Struts2攔截器

Struts2攔截器的概念和Spring Mvc攔截器一樣。

  1. Struts2攔截器是在訪問某個Action或Action的某個方法,欄位之前或之後實施攔截,並且Struts2攔截器是可插拔的,攔截器是AOP的一種實現.
  2. 攔截器棧(Interceptor Stack)。Struts2攔截器棧就是將攔截器按一定的順序聯結成一條鏈。在訪問被攔截的方法或欄位時,Struts2攔截器鏈中的攔截器就會按其之前定義的順序被呼叫。

使用攔截器的第一步:

自定義我的許可權攔截器CheckPrivilegeInterceptor,這個攔截器繼承自AbstractInterceptor這個抽象類,當然你可以實現Interceptor這個介面。

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.shizongger.oa.domain.User;
public class CheckPrivilegeInterceptor extends AbstractInterceptor {
@Override
public String intercept(ActionInvocation invocation) throws Exception {
System.out.println("---攔截器未攔截之前---");
String result = invocation.invoke();
System.out.println("---攔截器攔截之後---");
return result;
}
}

自定義的攔截器要覆蓋AbstractInterceptor抽象類的抽象方法intercept()方法,該方法是對所有的action進行攔截,String型別的返回值是我們將要返回的檢視,如果要放行我們要攔截的action地址,那麼程式碼如上所示。

使用攔截器的第二步:

配置struts的配置檔案,主要是配置自定義的攔截器和配置攔截器棧。在struts.xml配置檔案的package元素節點下新增以下配置:

<!-- 配置攔截器 -->
<interceptors>
<!-- 宣告攔截器 -->
<interceptor name="checkPrivilege" class="com.shizongger.oa.util.CheckPrivilegeInterceptor"></interceptor>
<!-- 重新定義預設的攔截器棧 -->
<interceptor-stack name="defaultStack">
<interceptor-ref name="checkPrivilege"></interceptor-ref>           
<interceptor-ref name="defaultStack"></interceptor-ref>             
</interceptor-stack>
</interceptors>

啟動我的Tomcat伺服器,當我在瀏覽器輸入我的action地址時,都會被該攔截器的intercept攔截,預設是放行的,如果返回空字串則因找不到對應的檢視而報錯。

登入和許可權攔截

攔截器在Web開發中應用場景最多的地方就是登入驗證和許可權驗證了。對於那些未登入系統的使用者,一般我們都把他所有的請求打回到登入頁面。而對於那些已經登入系統的使用者,如果你不具有相應的許可權,那麼將無法訪問我們的url。

首先在監聽器中最一些系統做一些監聽任務。

public class MyServletContextListener implements ServletContextListener {
Log log = LogFactory.getLog(this.getClass());
@Autowired
private PrivilegeService privilegeService;
@Override
public void contextDestroyed(ServletContextEvent sce) {
log.debug("---銷燬監聽器---");
}
@Override
public void contextInitialized(ServletContextEvent sce) {
ServletContext sc = sce.getServletContext();
ApplicationContext ac = WebApplicationContextUtils.getWebApplicationContext(sc);
PrivilegeService privilegeService = (PrivilegeService) ac.getBean("privilegeServiceImpl");
List<Privilege> topPrivilegeList = privilegeService.findTopList();
//將許可權list放到比application作用域還大的ServletContext
sc.setAttribute("topPrivilegeList", topPrivilegeList);
// 準備資料:allPrivilegeUrls
Collection<String> allPrivilegeUrls = privilegeService.getAllPrivilegeUrls();
sc.setAttribute("allPrivilegeUrls", allPrivilegeUrls);      
}
}

監聽器的任務是從Web容器中獲得Spring的容器ApplicationContext,再從ApplicationContext中獲得許可權服務類privilegeService,這個service主要作用有兩點,其一是獲得有多的頂級許可權列表;其二是獲得所以許可權列表。將這兩者放入到application裡邊。

接下來就可以在我們的攔截器中寫登入攔截的邏輯程式碼了。

    public String intercept(ActionInvocation invocation) throws Exception {     
//獲取資訊,從session中取出當前登入使用者
User user = (User) ActionContext.getContext().getSession().get("user");
String nameSpace = invocation.getProxy().getNamespace();
String actionName = invocation.getProxy().getActionName();
//對應的許可權地址
String privilegeUrl = nameSpace   actionName;
//如果未登入
if(user == null) {
//如果是去登入的頁面和登入請求,就放行
if("/user_login".equals(privilegeUrl)) {
return invocation.invoke();
//否則跳轉到登入頁面
} else {
return "loginUI";
}
} else {
//如果已經登入則判斷是否有許可權
if(user.hasPrivilegeByUrl(privilegeUrl)) {
return invocation.invoke();
} else {
return "noPrivilegeError";
}
}
}

處理的邏輯是,如果未登入,則判斷是不是要去登入,如果使用者正在登入則放行,其他請求都要跳轉到loginUI登入頁面。如果已經登入,則判斷正在登入的使用者是否具有相對應的許可權。而判斷是否具有許可權的方法在我的user.java裡面。

/**
* 使用者實體
* @author shizongger
* @date 2017/03/24
*/
public class User {
private Log log = LogFactory.getLog(this.getClass());
private Long id;
private String loginName;
private String password;
private String name;
private String gender;
private String phoneNumber;
private String email;
private String description;
private Department department;
private Set<Role> roles;
//getter/settter方法
/**
* 判斷使用者是否用該許可權
* @param privilegename 許可權名稱
* @return
*/
public boolean hasPrivilegeByName(String privilegeName) {
log.debug("許可權名稱:"   privilegeName);
//從本使用者中取出所有角色
for(Role role : roles) {
//從角色遍歷出所有許可權
Set<Privilege> privilegeList = role.getPrivileges();
for(Privilege privilege : privilegeList) {
if(privilegeName.equals(privilege.getName())) {
log.debug(privilegeName   "---有許可權---");
return true;
}
}
}
log.debug(privilegeName   "---沒有許可權---");
return false;
}
/**
* 判斷本使用者是否有指定URL的許可權
* 
* @param privUrl
* @return
*/
public boolean hasPrivilegeByUrl(String privUrl) {
// 超級管理有所有的許可權
if (isAdmin()) {
return true;
}
// >> 去掉後面的引數
int pos = privUrl.indexOf("?");
if (pos > -1) {
privUrl = privUrl.substring(0, pos);
}
// >> 去掉UI字尾
if (privUrl.endsWith("UI")) {
privUrl = privUrl.substring(0, privUrl.length() - 2);
}
// 如果本URL不需要控制,則登入使用者就可以使用
Collection<String> allPrivilegeUrls = (Collection<String>) ActionContext.getContext().getApplication().get("allPrivilegeUrls");
if (!allPrivilegeUrls.contains(privUrl)) {
return true;
} else {
// 普通使用者要判斷是否含有這個許可權
for (Role role : roles) {
for (Privilege priv : role.getPrivileges()) {
if (privUrl.equals(priv.getUrl())) {
return true;
}
}
}
return false;
}
}
/**
* 判斷本使用者是否是超級管理員
* 
* @return
*/ 
public boolean isAdmin() {
return "admin".equals(loginName);
}
}

hasPrivilegeByUrl()方法為根據url判斷使用者是否具有許可權的程式碼邏輯,此邏輯分為三部分。其一,如果登入的使用者是超級管理員admin,則不用驗證許可權,該使用者具有所有的許可權。其二,如果登入的使用者基本功能部分不用驗證,需要驗證的功能才需要驗證。基礎功能模組比如首頁,退出,登入頁面等都不要再驗證。

許可權的service實現類如下:

@Service
public class PrivilegeServiceImpl extends DaoSupportImpl<Privilege> implements PrivilegeService {
@Override
@Transactional
public List<Privilege> findTopList() {
List<Privilege> topPrivletList = this.getSession()
.createQuery("FROM Privilege p WHERE p.parent IS NULL")
.list();
return topPrivletList;
}
@Override
@Transactional
public Collection<String> getAllPrivilegeUrls() {
return getSession().createQuery(//
"SELECT DISTINCT p.url FROM Privilege p WHERE p.url IS NOT NULL")//
.list();
}
}

未登入的狀態直接輸入主頁面將自動彈回登入頁面,如圖所示
未登入直接訪問主頁面

在登入狀態下許可權如圖:
登入之後的許可權

另:
1. Spring Mvc攔截器請參考spring mvc攔截器
2. 本專案的GitHub地址