web开发功能权限控制

　　在网站开发的过程中，经常会遇到让某些功能只提供给某些特定的用户去使用，比如，一些高级功能只提供给会员用户使用，而一般的普通用户只能访问一些简单的功能。

具体的实现方式如下。

（1）前端控制：

　　前端的控制比较简单，从后台获取到用户的权限之后，可以存在session或者cookie中，然后在页面加载的时候，通过session或者cookie中存的权限来选择让该功能展现或者禁用。

（2）后台控制：

　　仅仅依靠前端的控制是无法完美解决权限控制的问题，因为前端页面的加载过程是在浏览器中完成的，用户可以自行篡改页面；或者用户可以直接通过URI请求来获取非法权限功能。所以需要在后台实现权限控制。

　　后台的控制方法也很多，比如filter、spring的AOP等。在此选用springMVC的interceptor来控制。

　　首先，在appContext-mvc.xml配置文件中配置拦截器，如下所示：

<mvc:interceptors>
<!-- 会员功能 -->
<mvc:interceptor>
<mvc:mapping path="/fund/mem/**" />
<bean class="org.fund.user.interceptor.AuthInterceptor" />
</mvc:interceptor>
</mvc:interceptors>

　　其中，path表示需要控制的接口路径，可以使用正则表达式来匹配。

　　然后，需要自己定义一个拦截器类，继承HandlerInterceptor接口，然后在preHandle方法里进行权限判断，如下所示：

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
User user = UserHolder.getUser();
if (user.getAuth() == GameIdeaType.VIP_USER.getId()) {
return true;
} else {
return false;
}
}

　　此时，当用户访问接口时，会首先进入这个拦截器的preHandle方法去处理。若权限通过则返回true；否则返回false，此次访问结束。

　　到此，已经实现了权限的控制，但是无法在用户访问非法权限接口时给出提示。若要解决这个问题，需要添加一个全局异常管理。

（3）全局异常管理：

　　思路是在拦截器中权限校验失败时，抛出一个权限校验失败的异常，然后通过全局异常管理类来捕获并返回前端特定的格式。具体如下。

　　首先，在配置文件中添加全局异常管理类，如下：

<!-- 全局异常管理 -->
<bean id="handlerExceptionResolver" class="org.fund.common.ExceptionHandler">
<property name="order" value="0"></property>
</bean>

　　然后，定义异常管理类，实现SimpleMappingExceptionResolver接口。

/**
* 全局异常处理类
*
* @author
*/
public class ExceptionHandler extends SimpleMappingExceptionResolver {

@Override
public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object o, Exception e) {
logger.info("System Error Occurred. " + e.getMessage(), e);

ModelAndView model = new ModelAndView(new MappingJacksonJsonView());
List<String> errors = new ArrayList<String>();

if (e instanceof NoPermissionException) {
errors.add("抱歉，该功能开通会员之后才能使用！");
} else {
errors.add("系统异常");
}

return paramError(model, errors);
}

private ModelAndView paramError(ModelAndView mv, List<String> errors) {
mv.addObject("success", false);
mv.addObject("data", null);
mv.addObject("errors", errors);
return mv;
}

}

　　最后，修改拦截器的实现

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
User user = UserHolder.getUser();
if (user.getAuth() == GameIdeaType.VIP_USER.getId()) {
return true;
} else {
throw new NoPermissionException();
}
}