struts2 Security 注解式权限处理

最新推荐文章于 2024-03-05 12:00:00 发布
原创 最新推荐文章于 2024-03-05 12:00:00 发布 · 242 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#struts2 #Interceptor #Security

本文介绍了如何在Struts2框架中通过注解方式实现页面权限控制,包括页面显示按钮的控制及权限验证过程。通过定义自定义拦截器和注解,实现对方法级别的权限检查,确保只有拥有相应权限的用户才能访问特定功能。

原有的根据地址访问控制权限.有些麻烦.所以写了个struts2 的 注解权限处理..

 

对于页面根据权限是否显示某个按钮.可以通过struts2 访问静态方法去实现.这里就不写了.

 

代码如下:

 

@Security:

 

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)   
public @interface Security {
	String name();
	String value();
}

利用struts2 的拦截器作为注解处理器:

 

先写个拦截器:

 

 

public class AuthorityInterceptor extends AbstractInterceptor{

	private static final long serialVersionUID = 6137804398980420490L;

	@Override
	public String intercept(ActionInvocation invocation) throws Exception {
		
	              String actionMethod = invocation.getProxy().getMethod();
		Method method = invocation.getAction().getClass().getMethod(actionMethod);
		
		Security security = method.isAnnotationPresent(Security.class) == false ? null 
						: method.getAnnotation(Security.class);
		boolean sec = true;
		if(security != null){
			String name = security.name();
			String value = security.value();
			System.out.println("security-name==:"+name);
			System.out.println("security-value==:"+value);
			//这里根据name 和value  去查询数据库或者session,也可以是缓存里的用户权限信息..;
			sec = false;
		}
		return sec ? invocation.invoke() : "securityError";//如果没有权限,跳至权限提示页面,这个可以是全局跳转
	}

}
 

 

再配置一个拦截器栈:

 

<package name="seamsju" namespace="/user" extends="struts-default">
		 <interceptors> 
            <interceptor name="authorityInterceptor" class="com.yuhongtech.filter.AuthorityInterceptor"></interceptor> 
            <interceptor-stack name="myInterceptorStack"> 
                <interceptor-ref name="authorityInterceptor"></interceptor-ref> 
                <interceptor-ref name="defaultStack"></interceptor-ref> 
            </interceptor-stack> 
        </interceptors> 
        
         <action name="*html" class="com.yuhongtech.action.user.OrderAction" method="{1}">
         	<result>/user/orderlist.jsp</result>
         	<result name="input">/user2/login.jsp</result>
         	<interceptor-ref name="myInterceptorStack"></interceptor-ref> 
        </action>
    </package>

 

 好啦,东西处理完啦..可以用了:

 

 

              /**
	 * 订单查询
	 * @return
	 */
	@Security(name="Order",value="show")
	public String listorder(){}

 只要在对应的action 的method 上加上相应的@Security 注解就行了..

 

 

关于struts2和spring security的结合以及spring security传参的问题
rocdream的专栏
02-06 8115
1)开始遇到一个问题,所有的action怎么都拦截不住,似乎spring security失效了,然后在所有的action前面加上“/”之后,在数据库资源里也是类似于/***.action就好了,这样的话就没有问题了。我个人觉得有个不错的解决方式,就是不同角色可访问的jsp建立不用的包,然后struts2配置文件里用不同的package,不用的包作为不同的命名空间,这样也比较清晰,然后在页面所
Struts2安全性学习笔记
qq_31099265的博客
08-23 382
Struts2安全性保证了服务器端指定资源不会轻易通过用户访问得到。 在tomcat中的conf文件中的tomcat-users.xml中添加角色,以及与角色相对应的用户及密码: 上面的这些角色例如"manager"可以通过部署描述文件来访问指定资源。元素security-constraint来保护相应资源,其子元素web-resource-collection
spring3+security3+struts2开源权限项目
05-09
完整的RBAC结构(数据库扩展形式),完整安全流程访问(依赖SPRING SECURITY的过滤链),多数据源切换(依赖SPRING),数据缓存功能(依赖EHCACHE)
Struts 2应用程序安全功能的配置详解
huacai2010的专栏
03-09 675
【IT168技术】安全性是Web应用程序开发工作中最关键的问题之一。在基于servlet的应用程序里,保护应用程序资源的办法有两种:一是对应用程序进行配置(web.xml),二是使用Java代码硬编码到程序中。前一种方法使用配置文件,该方法很灵活,这是因为通过使用配置文件,无需改写任何代码就可以改变安全策略,是一种常见的手段。而Struts 2是基于servlet技术的,所以Struts 2的安全
Struts2 编写安全策略(四十五)
路虽远行则将至,事虽难做则必成
03-27 664
编写安全策略 包含(1保护资源,2指定登录方法) ----保护资源 在web应用程序中保护资源 ,需要在web.xml文件中配置元素,该元素的语法定义如下: 上述语法定义的含义如下: display-name? :包含的是xml编辑器显示的名称.可选的 ,最多只有一个 web-resource-collection+:可选的 ,一个或多个 auth-constraint
struts1 加入 security
点点滴滴
10-08 390
From: http://www.onjava.com/pub/a/onjava/2004/02/18/strutssecurity.html  1. Extending the Struts ActionMapping class public class StrutsPermissionMapping extends ActionMapping { private Int
spring3+struts2+hibernate3+spring security3 权限管理
01-05
(1)该项目是基于spring3+struts2+hibernate3+spring security3的权限管理项目 (2)后台我已经实现了权限管理,包括用户,角色和资源的分配。前台实现了spring security3的管理 (3)网上案例普遍是后台单一登陆。...
Spring3+Security3+Struts2开源权限框架综合解析
总结而言,这里提到的项目是一个综合了Spring3、Security3以及Struts2框架的复杂Web应用,其中还涉及了权限控制、安全性、数据源管理和缓存策略等多个方面的设计和实现。了解和掌握这些知识点将对开发企业级Web应用...
深入理解Spring SecurityStruts2结合的实例
标题:“Struts2+Hibernate+Spring 和 Security 例子”的知识点解析 描述:“Struts2+Hibernate+Spring 和 Security 例子”的知识点解析 在一个典型的Java企业级应用中,Struts2、Hibernate、Spring和Spring ...
深入理解Struts2权限管理源码分析与实践
在深入探讨这个特定的“开发者突击Struts2系列源码一(权限管理)”的知识点之前,我们需要先梳理一下技术栈:Struts2是一个非常著名的Java Web应用程序框架,它基于MVC(模型-视图-控制器)架构模式,用于简化Web...
基于JPA、Spring和Struts2权限设置优化方案
标题“jpa+spring+struts2”和描述“jpa+spring+struts2 权限设置,由于资源的大小关系,把jar包省略了”以及标签“jpa+spring+struts2 权限设置”表明我们讨论的是在Java编程领域中,使用JPA、Spring框架以及Struts...
struts安全保护机制
hhtq的博客
03-21 528
配置保护资源 1.元素中的子标签为 用来标示一个资源 用来对资源进行描述 用来定义一个URL模式,所有与这个URL模式相匹配的URL地址的资源都将受到保护 用来定义受限制的HTTP请求方法。例如设置其值为POST,则POST请求方法将受到限制。 2. 允许访问受保护资源的角色 描述角色 3.包含元素,用来定义数据传输的保护形式 INTEGRAL: 保证数据在传输过程中不
Struts 2 Security Vulnerability - Dynamic Method Invocation
cnbird's blog
02-15 1684
Introduction The Struts 2 web application framework has a long-standing security vulnerability that may not be well known to new Struts 2 developers. By default the framework enables a technique call
html5 struts2 登录页面,Spring Security+Struts2实现登录,注册,以及注册自动登录模块...
weixin_39762856的博客
06-03 430
源码下载文件结构 actions包定义了struts2 action。action.results包定义了自己的struts result。此半成品用不到。aspect包将定义aop切面。此半成品用不到。auth包定义了用于SS认证的自定义类。我们将使用自己的类来查询数据库。business包定义了各种service接口以及实现。db.mapper包定义了Mybatis Dao接口。model包定...
Spring Security Struts2 整合安全
06-13 568
再次提醒各位struts2的用户注意这个超级安全漏洞
jackyrongvip的专栏
07-01 1767
最近发现 struts 2的这个严重安全漏洞,在http://www.iteye.com/topic/720209中已经有所表述,主要是OGNL的问题,摘录如下: exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。 漏洞名称:Struts2/XWork 相关介绍: http://www.exploit-db.com/exploits/14360/ http:
Apache Struts2远程代码执行漏洞(S2-037)复现
qq_36933272的博客
09-01 892
打开struts漏洞检测工具,输入地址,发现 警告:存在Struts2远程代码执行漏洞-编号S2-046 返回验证标志:struts2_security_check 警告:存在Struts2远程代码执行漏洞-编号S2-045 返回验证标志:struts2_security_check 执行命令,ls查看目录,发现key.txt cat key.txt,得到key ...
安全头响应头(一)Content-Security-Policy
最新发布
wangluoanquan111的博客
03-05 1928
一 [Content Security Policy CSP](https://developer.mozilla.org/en-① 背景引入② 启用CSP的两种方法③ CSP语法④[各个指令的解读](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/object-src “各个指令的解读”)⑤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值