【SSH项目实战】国税协同平台-17.权限鉴定&解决登录嵌套

我们上一次完成了登录功能和session用户信息的保存和注销。下面我们完成登陆后有关权限鉴定的功能。

我们系统分了5大子系统，粗粒度的分了5个权限。



用户只要有对应系统的权限才可以访问相应的子系统。超级管理员可以访问所有子模块，一般的用户可能只能访问“我的空间”。

我们下面就来做一个权限鉴定，我们画个图来设计一下:



接下来编码实现:

我们要修改我们过滤器的代码

@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request=(HttpServletRequest)servletRequest;
HttpServletResponse response=(HttpServletResponse)servletResponse;
String uri=request.getRequestURI();
//判断当前请求地址是否是登录地址
if(!uri.contains("sys/login_")){
//非登录请求
if(request.getSession().getAttribute(Constant.USER)!=null){
//说明已经登录过
//判断是否访问纳税服务子系统
if(uri.contains("/tax/")){
//说明访问纳税服务子系统
User user=(User)request.getSession().getAttribute(Constant.USER);
PermissionCheck pc=new PermissionCheckImpl();
if(pc.isAccessible(user,"nsfw")){
//说明有权限，放行
chain.doFilter(request, response);
}else{
//没有权限，跳转到没有权限提示界面
response.sendRedirect(request.getContextPath()+"/sys/login_toNoPermissionUI.action");
}

}else{
//非访问纳税服务子系统，直接放行
chain.doFilter(request, response);
}

}else{
//没有登录,跳转到登录界面
response.sendRedirect(request.getContextPath()+"/sys/login_toLoginUI.action");
}
}else{
//登录请求，直接放行
chain.doFilter(request, response);
}
}

其中新添加了权限检查类PermissionCheck(分为接口和实现类)，此类代码为:

接口:

package cn.edu.hpu.tax.core.permission;

import cn.edu.hpu.tax.user.entity.User;

public interface PermissionCheck {
/**
*判断用户是否有code对应的权限
* @param user 用户
* @param code 子系统的权限标识
* @return true or false
*/
public boolean isAccessible(User user,String code);
}

实现类:

package cn.edu.hpu.tax.core.permission.impl;

import javax.annotation.Resource;

import cn.edu.hpu.tax.core.permission.PermissionCheck;
import cn.edu.hpu.tax.role.entity.Role;
import cn.edu.hpu.tax.role.entity.RolePrivilege;
import cn.edu.hpu.tax.role.service.RoleService;
import cn.edu.hpu.tax.user.entity.User;
import cn.edu.hpu.tax.user.service.UserService;

public class PermissionCheckImpl implements PermissionCheck {

@Resource
private UserService userService;
@Resource
private RoleService roleService;

@Override
public boolean isAccessible(User user, String code) {
//1.获取用户的所有角色
String[] ids=userService.getRoleIdByUserId(user.getId());
Role role=null;
//2.根据每个角色对应的所有权限进行对比
for (int i = 0; i < ids.length; i++) {
role=roleService.findObjectById(ids[i]);
for (RolePrivilege rp:role.getRolePrivileges()) {
//对比是否有code对应的权限
if(code.equals(rp.getId().getCode())){
//说明有权限，返回true
return true;
}
}
}
return false;
}

}

在LoginAction中添加跳转到没有权限提示界面的方法:

//跳转到没有权限提示界面
public String toNoPermissionUI(){
return "noPermissionUI";
}

然后在struts中配置这个界面:

<result name="noPermissionUI">/WEB-INF/jsp/noPermissionUI.jsp</result>

没有权限访问模块的noPermissionUI.jsp界面代码:

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
<head>
<title>没有权限</title>
</head>

<body>
对不起！您没有访问此功能的权限；请联系系统管理员。    
<a href="javascript:history.go(-1)">《《返回</a>
</body>
</html>

我们不能每一次点击一个功能的时候就进行这样一次检查，因为每次都要进行查询数据库来查询用户的角色信息，我们要在登录的时候就去查询完成这个角色，然后之后每次鉴定的时候就无需再次进数据库查询:

我们在User中添加private List<role> roles;这个属性以及get和set方法。

然后在LoginAction的login方法中登录之后就将用户的所有权限信息都保存在用户的roles属性中(需要注入roleService)，然后再将用户放入session，以后就可以利用session中的信息，无需再次查询数据库:

//登录
public String login(){
if(user!=null){
if(StringUtils.isNoneBlank(user.getAccount())
&&StringUtils.isNoneBlank(user.getPassword())){
//根据用户的账号和密码查询用户列表
List<User> list=userService.findUserByAccountAndPassword(user.getAccount(),user.getPassword());
if(list!=null&&list.size()>0){//说明登录成功
//1、登录成功
User user=list.get(0);
//1.1、根据用户id查询用户的所有角色信息
String[] ids=userService.getRoleIdByUserId(user.getId());
List<Role> rolelist=new ArrayList<Role>();
for (int i = 0; i < ids.length; i++) {
rolelist.add(roleService.findObjectById(ids[i]));
}
user.setRoles(rolelist);
//1.2、将用户信息保存到session中
ServletActionContext.getRequest().getSession().setAttribute(Constant.USER, user);
//1.3、将用户登录记录到日志文件
Log log=LogFactory.getLog(getClass());
log.info("用户名称为:"+user.getName()+"的用户登录了系统");
//1.4、重定向跳转到首页
return "home";
}else{
loginResult="账号或密码不正确!";
}
}else{
loginResult="账号或密码不能为空!";
}
}else{
loginResult="请输入账号和密码!";
}
return toLoginUI();
}

然后修改PermissionCheckImpl的检查代码，让其不再去查询数据库。

package cn.edu.hpu.tax.core.permission.impl;

import java.util.List;

import cn.edu.hpu.tax.core.permission.PermissionCheck;
import cn.edu.hpu.tax.role.entity.Role;
import cn.edu.hpu.tax.role.entity.RolePrivilege;
import cn.edu.hpu.tax.user.entity.User;

public class PermissionCheckImpl implements PermissionCheck {

@Override
public boolean isAccessible(User user, String code) {
//1.获取用户的所有角色
List<Role> rolelist=user.getRoles();
Role role=null;
//2.根据每个角色对应的所有权限进行对比
for (int i = 0; i < rolelist.size(); i++) {
role=rolelist.get(i);
for (RolePrivilege rp:role.getRolePrivileges()) {
//对比是否有code对应的权限
if(code.equals(rp.getId().getCode())){
//说明有权限，返回true
return true;
}
}
}
return false;
}

}

我们来验证一下我们的权限鉴定是否可行:

我们没有给“李向阳”设定访问纳税服务的权限，所以当我们登录李向阳的账号之后点击“纳税服务”模块时，弹出下列窗口:



当我们使用其它有此权限的账号登录的时候，可以进入“纳税服务”模块。

至此，我们的权限鉴定功能完成。

还有一个问题，我们删除用户的时候是物理删除(当然后期不是物理删除)，我们删除用户之后还需要将用户所有的角色信息给删除，防止脏数据。

所以我们修改UserServiceImpl的delete方法:

@Override
public void delete(Serializable id) {
userDao.delete(id);
//删除用户对应的所有权限
userDao.deleteUserRoleByUserId(id.toString());
}

这样，当我们删除用户的时候，就会连用户的角色一起删除。

2.登录嵌套的解决

还有一个问题，当我们登陆之后过了好一段时间没有操作，点击某个功能的时候会出现这种情况:



这就是所谓的登录嵌套，是什么原因呢？

原因就是我们的session是有时间限制的，当session失效的时候，点击frame框架里的侧边栏，在右边主界面显示的就是我们的功能模块页面，但是由于我们设置了过滤器，我们的过滤器检测到用户的session不存在，所以就会跳转至登录界面，就造成了上面那种情况。

解决办法:

就是让登录界面知道自己在哪里(浏览器里还是frame里)

找到我们的登录jsp，在其中添加此代码:

//解决子框架嵌套的问题
if(window != window.parent){
window.parent.location.reload(true);
}

也就是当此界面不是在主窗口的时候，我们就刷新主窗口的地址。

至此，我们的权限鉴定和解决嵌套登录完成。

工程源代码下载:http://download.csdn.net/detail/u013517797/9246763

转载请注明出处：http://blog.csdn.net/acmman/article/details/49680255