使用springMVC实现基于资源的访问控制

一、权限这一块对数据库的核心设计模型

1、核心表

主体（账号、密码）

资源（资源名称、访问地址）

权限（权限名称、资源id）

角色（角色名称）

角色和权限关系（角色id、权限id）

主体和角色关系（主体id、角色id

2、图形如下：



通常企业开发中将资源和权限表合并为一张权限表，如下：

资源（资源名称、访问地址）

权限（权限名称、资源id）

合并为：

权限（权限名称、资源名称、资源访问地址）



这里附带说明一下权限表：



二、说明一下，使用springMVC的拦截器，基于资源的访问控制

系统登陆分析

 

系统 登陆相当
于用户身份认证，用户成功，要在session中记录用户的身份信息.

 

操作流程：

用户进行登陆页面

输入用户名和密码进行登陆

进行用户名和密码校验

如果校验通过，在session记录用户身份信息

1、用户的认证与授权的逻辑分析



2、使用springMVC对用户进行身份验证

@Controller
public class LoginController {

@Autowired
private SysService sysService;

//用户登陆提交方法
/**
*
* <p>Title: login</p>
* <p>Description: </p>
* @param session
* @param randomcode 输入的验证码
* @param usercode 用户账号
* @param password 用户密码
* @return
* @throws Exception
*/
@RequestMapping("/login")
public String login(HttpSession session, String randomcode,String usercode,String password)throws Exception{

//校验验证码，防止恶性攻击
//从session获取正确验证码
String validateCode = (String) session.getAttribute("validateCode");

//输入的验证和session中的验证进行对比
if(!randomcode.equals(validateCode)){
//抛出异常
throw new CustomException("验证码输入错误");
}

//调用service校验用户账号和密码的正确性
ActiveUser activeUser = sysService.authenticat(usercode, password);

//如果service校验通过，将用户身份记录到session
session.setAttribute("activeUser", activeUser);
//重定向到商品查询页面
return "redirect:/first.action";
}

//用户退出
@RequestMapping("/logout")
public String logout(HttpSession session)throws Exception{

//session失效
session.invalidate();
//重定向到商品查询页面
return "redirect:/first.action";

}

}

应该注意的是：使用session把访问用户的信息进行缓存起来，可以提高系统的性能，不然，每次访问资源的时候都要进行对该用户的权限信息从数据中读取，比较消耗性能；

3、使用springMVC的拦截器对用户资源访问权限进行控制：
几个资源注意一下：

可以匿名访问的资源；
公共资源，这个是说，用户 认证通过后都可以看到的资源；
用户专有权限的资源；
上面的可以匿名访问的资源和公共资源一般都是配置在properties文件当中的；

public class PermissionInterceptor implements HandlerInterceptor {

//在执行handler之前来执行的
//用于用户认证校验、用户权限校验
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {

//得到请求的url
String url = request.getRequestURI();

//判断是否是公开 地址
//实际开发中需要公开 地址配置在配置文件中
//从配置中取逆名访问url

List<String> open_urls = ResourcesUtil.gekeyList("anonymousURL");
//遍历公开 地址，如果是公开 地址则放行
for(String open_url:open_urls){
if(url.indexOf(open_url)>=0){
//如果是公开 地址则放行
return true;
}
}

//从配置文件中获取公共访问地址
List<String> common_urls = ResourcesUtil.gekeyList("commonURL");
//遍历公用 地址，如果是公用 地址则放行
for(String common_url:common_urls){
if(url.indexOf(common_url)>=0){
//如果是公开 地址则放行
return true;
}
}

//获取session
HttpSession session = request.getSession();
ActiveUser activeUser = (ActiveUser) session.getAttribute("activeUser");
//从session中取权限范围的url
List<SysPermission> permissions = activeUser.getPermissions();
for(SysPermission sysPermission:permissions){
//权限的url
String permission_url = sysPermission.getUrl();
if(url.indexOf(permission_url)>=0){
//如果是权限的url 地址则放行
return true;
}
}

//执行到这里拦截，跳转到无权访问的提示页面
request.getRequestDispatcher("/WEB-INF/jsp/refuse.jsp").forward(request, response);

//如果返回false表示拦截不继续执行handler，如果返回true表示放行
return false;
}
//在执行handler返回modelAndView之前来执行
//如果需要向页面提供一些公用 的数据或配置一些视图信息，使用此方法实现 从modelAndView入手
@Override
public void postHandle(HttpServletRequest request,
HttpServletResponse response, Object handler,
ModelAndView modelAndView) throws Exception {
System.out.println("HandlerInterceptor1...postHandle");

}
//执行handler之后执行此方法
//作系统 统一异常处理，进行方法执行性能监控，在preHandle中设置一个时间点，在afterCompletion设置一个时间，两个时间点的差就是执行时长
//实现 系统 统一日志记录
@Override
public void afterCompletion(HttpServletRequest request,
HttpServletResponse response, Object handler, Exception ex)
throws Exception {
System.out.println("HandlerInterceptor1...afterCompletion");
}

}

4、springMVC拦截器的配置
<!--拦截器 -->
<mvc:interceptors>

<mvc:interceptor>
<!-- 用户认证拦截 -->
<mvc:mapping path="/**" />
<bean class="cn.itcast.ssm.controller.interceptor.LoginInterceptor"></bean>
</mvc:interceptor>
<mvc:interceptor>
<!-- 授权拦截 -->
<mvc:mapping path="/**" />
<bean class="cn.itcast.ssm.controller.interceptor.PermissionInterceptor"></bean>
</mvc:interceptor>
</mvc:interceptors>

这里有源码：点击打开链接