web开发功能权限控制
2016-02-19 11:19
1146 查看
在网站开发的过程中,经常会遇到让某些功能只提供给某些特定的用户去使用,比如,一些高级功能只提供给会员用户使用,而一般的普通用户只能访问一些简单的功能。
具体的实现方式如下。
后台的控制方法也很多,比如filter、spring的AOP等。在此选用springMVC的interceptor来控制。
首先,在appContext-mvc.xml配置文件中配置拦截器,如下所示:
其中,path表示需要控制的接口路径,可以使用正则表达式来匹配。
然后,需要自己定义一个拦截器类,继承HandlerInterceptor接口,然后在preHandle方法里进行权限判断,如下所示:
此时,当用户访问接口时,会首先进入这个拦截器的preHandle方法去处理。若权限通过则返回true;否则返回false,此次访问结束。
到此,已经实现了权限的控制,但是无法在用户访问非法权限接口时给出提示。若要解决这个问题,需要添加一个全局异常管理。
首先,在配置文件中添加全局异常管理类,如下:
然后,定义异常管理类,实现SimpleMappingExceptionResolver接口。
最后,修改拦截器的实现
具体的实现方式如下。
(1)前端控制:
前端的控制比较简单,从后台获取到用户的权限之后,可以存在session或者cookie中,然后在页面加载的时候,通过session或者cookie中存的权限来选择让该功能展现或者禁用。(2)后台控制:
仅仅依靠前端的控制是无法完美解决权限控制的问题,因为前端页面的加载过程是在浏览器中完成的,用户可以自行篡改页面;或者用户可以直接通过URI请求来获取非法权限功能。所以需要在后台实现权限控制。后台的控制方法也很多,比如filter、spring的AOP等。在此选用springMVC的interceptor来控制。
首先,在appContext-mvc.xml配置文件中配置拦截器,如下所示:
<mvc:interceptors> <!-- 会员功能 --> <mvc:interceptor> <mvc:mapping path="/fund/mem/**" /> <bean class="org.fund.user.interceptor.AuthInterceptor" /> </mvc:interceptor> </mvc:interceptors>
其中,path表示需要控制的接口路径,可以使用正则表达式来匹配。
然后,需要自己定义一个拦截器类,继承HandlerInterceptor接口,然后在preHandle方法里进行权限判断,如下所示:
@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { User user = UserHolder.getUser(); if (user.getAuth() == GameIdeaType.VIP_USER.getId()) { return true; } else { return false; } }
此时,当用户访问接口时,会首先进入这个拦截器的preHandle方法去处理。若权限通过则返回true;否则返回false,此次访问结束。
到此,已经实现了权限的控制,但是无法在用户访问非法权限接口时给出提示。若要解决这个问题,需要添加一个全局异常管理。
(3)全局异常管理:
思路是在拦截器中权限校验失败时,抛出一个权限校验失败的异常,然后通过全局异常管理类来捕获并返回前端特定的格式。具体如下。首先,在配置文件中添加全局异常管理类,如下:
<!-- 全局异常管理 --> <bean id="handlerExceptionResolver" class="org.fund.common.ExceptionHandler"> <property name="order" value="0"></property> </bean>
然后,定义异常管理类,实现SimpleMappingExceptionResolver接口。
/** * 全局异常处理类 * * @author */ public class ExceptionHandler extends SimpleMappingExceptionResolver { @Override public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) { logger.info("System Error Occurred. " + e.getMessage(), e); ModelAndView model = new ModelAndView(new MappingJacksonJsonView()); List<String> errors = new ArrayList<String>(); if (e instanceof NoPermissionException) { errors.add("抱歉,该功能开通会员之后才能使用!"); } else { errors.add("系统异常"); } return paramError(model, errors); } private ModelAndView paramError(ModelAndView mv, List<String> errors) { mv.addObject("success", false); mv.addObject("data", null); mv.addObject("errors", errors); return mv; } }
最后,修改拦截器的实现
@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { User user = UserHolder.getUser(); if (user.getAuth() == GameIdeaType.VIP_USER.getId()) { return true; } else { throw new NoPermissionException(); } }
相关文章推荐
- VCC、VDD、VEE、VSS的区别
- 到底要不要拆分函数
- maven编译的时候排除junit测试类
- 古诗MySQL数据库中使用到的DAO模式
- 正则表达式简介
- 热更新相关
- 关于大型网站技术演进的思考(十三)--网站静态化处理―CSI(5)
- Android实现图片异步请求加三级缓存
- hex格式介绍及转bin格式的源程序
- 通过命令行查看天气
- Ubuntu 服务器之间拷贝文件命令
- java反射详解
- iTween基础之Rotate(旋转角度)
- cocos ide 调试lua 程序自动关闭问题的解决
- iTween基础之Rotate(旋转角度)
- apach hadoop2.6 集群利用Phoenix 4.6-hbase 批量导入并自动创建索引
- csharp:正则表达式采集网页数据
- tomcat项目部署到weblogic11
- Linux 网络配置
- SQLAlchemy指南(tutorial)