struts2 角色权限 filter(过滤器)和interceptor(拦截器)
2017-04-14 18:01
591 查看
Struts2项目通过使用Struts的if标签进行了session判断,使得未登录的用户不能看到页面,但是这 种现仅仅在view层进行,如果未登录用户直接在地址栏输入登录用户才能访问的地址,那么相应的action还是会执行,仅仅是不让用户看到罢了。这样显然是不好的,所以研究了一下Struts2的权限验证。
权限最核心的是业务逻辑,具体用什么技术来实现就简单得多。
通常:用户与角色建立多对多关系,角色与业务模块构成多对多关系,权限管理在后者关系中。
对权限的拦截,如果系统请求量大,可以用Struts2拦截器来做,请求量小可以放在filter中。但一般单级拦截还不够,要做到更细粒度的权限控制,还需要多级拦截。
不大理解filter(过滤器)和interceptor(拦截器)的区别,遂google之。博文中有介绍:
1、拦截器是基于Java的反射机制的,而过滤器是基于函数回调
。
2、过滤器依赖与servlet容器,而拦截器不依赖与servlet容器 。
3、拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求 起作用 。
4、拦截器可以访问action上下文、值栈里的对象,而过滤器不能 。
5、在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容 器初始化时被调用一次 。
为了学习决定把两种实现方式都试一下,然后再决定使用哪个。
权限验证的Filter实现:
web.xml代码片段
[html] view
plaincopy
<!-- authority filter 最好加在Struts2的Filter前面-->
<filter>
<filter-name>SessionInvalidate</filter-name>
<filter-class>filter.SessionCheckFilter</filter-class>
<init-param>
<param-nam
20000
e>checkSessionKey</param-name>
<param-value>loginName</param-value>
</init-param>
<init-param>
<param-name>redirectURL</param-name>
<param-value>/entpLogin.jsp</param-value>
</init-param>
<init-param>
<param-name>notCheckURLList</param-name>
<param-value>/entpLogin.jsp,/rois/loginEntp.action,/entpRegister.jsp,/test.jsp,/rois/registerEntp.action</param-value>
</init-param>
</filter>
<!--过滤/rois命名空间下所有action -->
<filter-mapping>
<filter-name>SessionInvalidate</filter-name>
<url-pattern>/rois/*</url-pattern>
</filter-mapping>
<!--过滤/jsp文件夹下所有jsp -->
<filter-mapping>
<filter-name>SessionInvalidate</filter-name>
<url-pattern>/jsp/*</url-pattern>
</filter-mapping>
SessionCheckFilter.java代码
[java] view
plaincopy
package filter;
import java.io.IOException;
import java.util.HashSet;
import java.util.Set;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/**
* 用于检测用户是否登陆的过滤器,如果未登录,则重定向到指的登录页面 配置参数 checkSessionKey 需检查的在 Session 中保存的关键字
* redirectURL 如果用户未登录,则重定向到指定的页面,URL不包括 ContextPath notCheckURLList
* 不做检查的URL列表,以分号分开,并且 URL 中不包括 ContextPath
*/
public class SessionCheckFilter implements Filter {
protected FilterConfig filterConfig = null;
private String redirectURL = null;
private Set<String> notCheckURLList = new HashSet<String>();
private String sessionKey = null;
@Override
public void destroy() {
notCheckURLList.clear();
}
@Override
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpSession session = request.getSession();
if (sessionKey == null) {
filterChain.doFilter(request, response);
return;
}
if ((!checkRequestURIIntNotFilterList(request))
&& session.getAttribute(sessionKey) == null) {
response.sendRedirect(request.getContextPath() + redirectURL);
return;
}
filterChain.doFilter(servletRequest, servletResponse);
}
private boolean checkRequestURIIntNotFilterList(HttpServletRequest request) {
String uri = request.getServletPath()
+ (request.getPathInfo() == null ? "" : request.getPathInfo());
String temp = request.getRequestURI();
temp = temp.substring(request.getContextPath().length() + 1);
// System.out.println("是否包括:"+uri+";"+notCheckURLList+"=="+notCheckURLList.contains(uri));
return notCheckURLList.contains(uri);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
redirectURL = filterConfig.getInitParameter("redirectURL");
sessionKey = filterConfig.getInitParameter("checkSessionKey");
String notCheckURLListStr = filterConfig
.getInitParameter("notCheckURLList");
if (notCheckURLListStr != null) {
System.out.println(notCheckURLListStr);
String[] params = notCheckURLListStr.split(",");
for (int i = 0; i < params.length; i++) {
notCheckURLList.add(params[i].trim());
}
}
}
}
权限验证的Interceptor实现:
使用Interceptor不需要更改web.xml,只需要对struts.xml进行配置
struts.xml片段
[html] view
plaincopy
<!-- 用户拦截器定义在该元素下 -->
<interceptors>
<!-- 定义了一个名为authority的拦截器 -->
<interceptor name="authenticationInterceptor" class="interceptor.AuthInterceptor" />
<interceptor-stack name="defualtSecurityStackWithAuthentication">
<interceptor-ref name="defaultStack" />
<interceptor-ref name="authenticationInterceptor" />
</interceptor-stack>
</interceptors>
<default-interceptor-ref name="defualtSecurityStackWithAuthentication" />
<!-- 全局Result -->
<global-results>
<result name="error">/error.jsp</result>
<result name="login">/Login.jsp</result>
</global-results>
<action name="login" class="action.LoginAction">
<param name="withoutAuthentication">true</param>
<result name="success">/WEB-INF/jsp/welcome.jsp</result>
<result name="input">/Login.jsp</result>
</action>
<action name="viewBook" class="action.ViewBookAction">
<result name="sucess">/WEB-INF/viewBook.jsp</result>
</action>
AuthInterceptor.java代码
[java] view
plaincopy
package interceptor;
import java.util.Map;
import com.opensymphony.xwork2.Action;
import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
public class AuthInterceptor extends AbstractInterceptor {
private static final long serialVersionUID = -5114658085937727056L;
private String sessionKey="loginName";
private String parmKey="withoutAuthentication";
private boolean excluded;
@Override
public String intercept(ActionInvocation invocation) throws Exception {
ActionContext ac=invocation.getInvocationContext();
Map<?, ?> session =ac.getSession();
String parm=(String) ac.getParameters().get(parmKey);
if(parm!=null){
excluded=parm.toUpperCase().equals("TRUE");
}
String user=(String)session.get(sessionKey);
if(excluded || user!=null){
return invocation.invoke();
}
ac.put("tip", "您还没有登录!");
//直接返回 login 的逻辑视图
return Action.LOGIN;
}
}
使用自定义的default-interceptor的话有需要注意几点:
1.一定要引用一下Sturts2自带defaultStack。否则会用不了Struts2自带的拦截器。
2.一旦在某个包下定义了上面的默认拦截器栈,在该包下的所有 Action 都会自动增加权限检查功能。所以有可能会出现永远登录不了的情况。
解决方案:
1.像上面的代码一样,在action里面增加一个参数表明不需要验证,然后在interceptor实现类里面检查是否不需要验证
2.将那些不需要使用权限控制的 Action 定义在另一个包中,这个新的包中依然使用 Struts 2 原有的默认拦截器栈,将不会有权限控制功能。
重要!3.Interceptor是针对action的拦截,如果知道jsp地址的话在URL栏直接输入JSP的地址,那么权限验证是没有效果滴!
解决方案:把所有page代码(jsp)放到WEB-INF下面,这个目录下的东西是“看不见”的(我犯过的错误,以为拦截器可以拦截page代码(jsp))
顶
0
踩
0
上一篇struts2的搭建(包括与spring整合)流程
下一篇乱码终极解决大全(阅尽天下A片,心中便无码)
•struts2令牌机制2012-12-27阅读2313
•Struts2
的表单验证2012-12-24阅读1340
•Struts2的国际化,中英文切换2012-12-23阅读6232
•Struts2的properties文件2012-12-23阅读1789
•addFieldError与addActionError的区别2012-12-23阅读4974
•Struts2常用标签使用和总结(包括前后台,出生日期,级联城市,遍历列表等)2012-12-23阅读2171
•struts2跟struts1的区别2012-12-25阅读705
•配置Result2012-12-23阅读1022
•Struts2的异常处理机制2012-12-23阅读1695
•struts2获取request,session,application4种方式2012-12-23阅读753
•struts2
Action获取表单传值(属性,类))2012-12-23阅读4100
更多文章
Java
25519关注|479收录
Java
17425关注|1301收录
Java
25413关注|1456收录
猜你在找
struts2深入浅出行业最强(备java基础,javaweb,javaee,框架)
JavaWeb(JSP+servlet)入门视频课程
jsp基础入门由浅入深(要javase基础,servlet,javaee必经之路)
Struts2源码剖析
Struts2视频_全面开战
利用struts2拦截器加自定义注解实现权限控制
自定义注解+Struts2拦截器实现简单权限控制
SSH学习Struts2拦截器实现登录权限验证
Struts2 自定义拦截器 实现简单权限检查
Struts2自定义拦截器实例登陆权限验证
关闭
权限最核心的是业务逻辑,具体用什么技术来实现就简单得多。
通常:用户与角色建立多对多关系,角色与业务模块构成多对多关系,权限管理在后者关系中。
对权限的拦截,如果系统请求量大,可以用Struts2拦截器来做,请求量小可以放在filter中。但一般单级拦截还不够,要做到更细粒度的权限控制,还需要多级拦截。
不大理解filter(过滤器)和interceptor(拦截器)的区别,遂google之。博文中有介绍:
1、拦截器是基于Java的反射机制的,而过滤器是基于函数回调
。
2、过滤器依赖与servlet容器,而拦截器不依赖与servlet容器 。
3、拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求 起作用 。
4、拦截器可以访问action上下文、值栈里的对象,而过滤器不能 。
5、在action的生命周期中,拦截器可以多次被调用,而过滤器只能在容 器初始化时被调用一次 。
为了学习决定把两种实现方式都试一下,然后再决定使用哪个。
权限验证的Filter实现:
web.xml代码片段
[html] view
plaincopy
<!-- authority filter 最好加在Struts2的Filter前面-->
<filter>
<filter-name>SessionInvalidate</filter-name>
<filter-class>filter.SessionCheckFilter</filter-class>
<init-param>
<param-nam
20000
e>checkSessionKey</param-name>
<param-value>loginName</param-value>
</init-param>
<init-param>
<param-name>redirectURL</param-name>
<param-value>/entpLogin.jsp</param-value>
</init-param>
<init-param>
<param-name>notCheckURLList</param-name>
<param-value>/entpLogin.jsp,/rois/loginEntp.action,/entpRegister.jsp,/test.jsp,/rois/registerEntp.action</param-value>
</init-param>
</filter>
<!--过滤/rois命名空间下所有action -->
<filter-mapping>
<filter-name>SessionInvalidate</filter-name>
<url-pattern>/rois/*</url-pattern>
</filter-mapping>
<!--过滤/jsp文件夹下所有jsp -->
<filter-mapping>
<filter-name>SessionInvalidate</filter-name>
<url-pattern>/jsp/*</url-pattern>
</filter-mapping>
SessionCheckFilter.java代码
[java] view
plaincopy
package filter;
import java.io.IOException;
import java.util.HashSet;
import java.util.Set;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/**
* 用于检测用户是否登陆的过滤器,如果未登录,则重定向到指的登录页面 配置参数 checkSessionKey 需检查的在 Session 中保存的关键字
* redirectURL 如果用户未登录,则重定向到指定的页面,URL不包括 ContextPath notCheckURLList
* 不做检查的URL列表,以分号分开,并且 URL 中不包括 ContextPath
*/
public class SessionCheckFilter implements Filter {
protected FilterConfig filterConfig = null;
private String redirectURL = null;
private Set<String> notCheckURLList = new HashSet<String>();
private String sessionKey = null;
@Override
public void destroy() {
notCheckURLList.clear();
}
@Override
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse, FilterChain filterChain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpSession session = request.getSession();
if (sessionKey == null) {
filterChain.doFilter(request, response);
return;
}
if ((!checkRequestURIIntNotFilterList(request))
&& session.getAttribute(sessionKey) == null) {
response.sendRedirect(request.getContextPath() + redirectURL);
return;
}
filterChain.doFilter(servletRequest, servletResponse);
}
private boolean checkRequestURIIntNotFilterList(HttpServletRequest request) {
String uri = request.getServletPath()
+ (request.getPathInfo() == null ? "" : request.getPathInfo());
String temp = request.getRequestURI();
temp = temp.substring(request.getContextPath().length() + 1);
// System.out.println("是否包括:"+uri+";"+notCheckURLList+"=="+notCheckURLList.contains(uri));
return notCheckURLList.contains(uri);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
redirectURL = filterConfig.getInitParameter("redirectURL");
sessionKey = filterConfig.getInitParameter("checkSessionKey");
String notCheckURLListStr = filterConfig
.getInitParameter("notCheckURLList");
if (notCheckURLListStr != null) {
System.out.println(notCheckURLListStr);
String[] params = notCheckURLListStr.split(",");
for (int i = 0; i < params.length; i++) {
notCheckURLList.add(params[i].trim());
}
}
}
}
权限验证的Interceptor实现:
使用Interceptor不需要更改web.xml,只需要对struts.xml进行配置
struts.xml片段
[html] view
plaincopy
<!-- 用户拦截器定义在该元素下 -->
<interceptors>
<!-- 定义了一个名为authority的拦截器 -->
<interceptor name="authenticationInterceptor" class="interceptor.AuthInterceptor" />
<interceptor-stack name="defualtSecurityStackWithAuthentication">
<interceptor-ref name="defaultStack" />
<interceptor-ref name="authenticationInterceptor" />
</interceptor-stack>
</interceptors>
<default-interceptor-ref name="defualtSecurityStackWithAuthentication" />
<!-- 全局Result -->
<global-results>
<result name="error">/error.jsp</result>
<result name="login">/Login.jsp</result>
</global-results>
<action name="login" class="action.LoginAction">
<param name="withoutAuthentication">true</param>
<result name="success">/WEB-INF/jsp/welcome.jsp</result>
<result name="input">/Login.jsp</result>
</action>
<action name="viewBook" class="action.ViewBookAction">
<result name="sucess">/WEB-INF/viewBook.jsp</result>
</action>
AuthInterceptor.java代码
[java] view
plaincopy
package interceptor;
import java.util.Map;
import com.opensymphony.xwork2.Action;
import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
public class AuthInterceptor extends AbstractInterceptor {
private static final long serialVersionUID = -5114658085937727056L;
private String sessionKey="loginName";
private String parmKey="withoutAuthentication";
private boolean excluded;
@Override
public String intercept(ActionInvocation invocation) throws Exception {
ActionContext ac=invocation.getInvocationContext();
Map<?, ?> session =ac.getSession();
String parm=(String) ac.getParameters().get(parmKey);
if(parm!=null){
excluded=parm.toUpperCase().equals("TRUE");
}
String user=(String)session.get(sessionKey);
if(excluded || user!=null){
return invocation.invoke();
}
ac.put("tip", "您还没有登录!");
//直接返回 login 的逻辑视图
return Action.LOGIN;
}
}
使用自定义的default-interceptor的话有需要注意几点:
1.一定要引用一下Sturts2自带defaultStack。否则会用不了Struts2自带的拦截器。
2.一旦在某个包下定义了上面的默认拦截器栈,在该包下的所有 Action 都会自动增加权限检查功能。所以有可能会出现永远登录不了的情况。
解决方案:
1.像上面的代码一样,在action里面增加一个参数表明不需要验证,然后在interceptor实现类里面检查是否不需要验证
2.将那些不需要使用权限控制的 Action 定义在另一个包中,这个新的包中依然使用 Struts 2 原有的默认拦截器栈,将不会有权限控制功能。
重要!3.Interceptor是针对action的拦截,如果知道jsp地址的话在URL栏直接输入JSP的地址,那么权限验证是没有效果滴!
解决方案:把所有page代码(jsp)放到WEB-INF下面,这个目录下的东西是“看不见”的(我犯过的错误,以为拦截器可以拦截page代码(jsp))
顶
0
踩
0
上一篇struts2的搭建(包括与spring整合)流程
下一篇乱码终极解决大全(阅尽天下A片,心中便无码)
我的同类文章
mvc框架-struts2(18)•struts2令牌机制2012-12-27阅读2313
•Struts2
的表单验证2012-12-24阅读1340
•Struts2的国际化,中英文切换2012-12-23阅读6232
•Struts2的properties文件2012-12-23阅读1789
•addFieldError与addActionError的区别2012-12-23阅读4974
•Struts2常用标签使用和总结(包括前后台,出生日期,级联城市,遍历列表等)2012-12-23阅读2171
•struts2跟struts1的区别2012-12-25阅读705
•配置Result2012-12-23阅读1022
•Struts2的异常处理机制2012-12-23阅读1695
•struts2获取request,session,application4种方式2012-12-23阅读753
•struts2
Action获取表单传值(属性,类))2012-12-23阅读4100
更多文章
参考知识库
Java
SE知识库
25519关注|479收录Java
EE知识库
17425关注|1301收录Java
知识库
25413关注|1456收录猜你在找
struts2深入浅出行业最强(备java基础,javaweb,javaee,框架)
JavaWeb(JSP+servlet)入门视频课程
jsp基础入门由浅入深(要javase基础,servlet,javaee必经之路)
Struts2源码剖析
Struts2视频_全面开战
利用struts2拦截器加自定义注解实现权限控制
自定义注解+Struts2拦截器实现简单权限控制
SSH学习Struts2拦截器实现登录权限验证
Struts2 自定义拦截器 实现简单权限检查
Struts2自定义拦截器实例登陆权限验证
关闭
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- struts2 角色权限 filter(过滤器)和interceptor(拦截器)
- struts2 角色权限 filter(过滤器)和interceptor(拦截器)
- struts2 角色权限 filter(过滤器)和interceptor(拦截器)
- struts2的拦截器(Interceptor)与过滤器(Filter)
- Struts2 拦截器(Interceptor )原理和配置 (区别 过滤器Filter)
- SSH-Struts2简单的自定义拦截器MethodFilterInterceptor
- 过滤器(opensessioninviewfilter)与拦截器(opensessioninviewinterceptor)
- 过滤器(Filter)和拦截器(Interceptor)的区别
- struts2技巧与解惑——使用包(package)和拦截器(interceptor)分配和处理权限
- 过滤器(Filter)和拦截器(Interceptor)的区别
- 过滤器filter和拦截器interceptor的区别
- struts2拦截器配置;拦截器栈;配置默认拦截器;拦截方法的拦截器MethodFilterInterceptor;完成登录验证
- struts2拦截器(Interceptor)与传统拦截器(Filter)
- Filter(过滤器)与Interceptor(拦截器)的区别
- SpringMVC的拦截器(Interceptor)和过滤器(Filter)的区别与联系
- Struts2使用过滤器和拦截器进行简单权限校验
- java 过滤器(Filter)与springMVC 拦截器(interceptor)的实现案例
- 在struts2中使用拦截器(Interceptor)控制登录和权限
- 过滤器(Filter)和拦截器(Interceptor)的区别
- struts2拦截器(Interceptor)与传统拦截器(Filter)