医药采购之操作权限拦截器

最新推荐文章于 2017-10-18 09:17:45 发布
最新推荐文章于 2017-10-18 09:17:45 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 2.3 springmvc+mybatis实战 文章标签: session 操作权限 拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012373815/article/details/50364805
本文介绍了一种基于Spring MVC的权限拦截器实现方案,通过配置公开访问地址和用户操作权限,确保用户只能访问其被授权的功能模块。

用户登录成功根据用户角色从数据库查询用户的操作权限(操作链接),可以进行权限拦截校验,并将操作权限存储至session中,在拦截器中获取用户的操作权限,用户请求url时,如果url在权限操作内放行可以继续操作,如果不在这个范围内拦截,提示用户:无此操作权限。
这里写图片描述

权限拦截
常用的有过虑器方式、框架拦截器(springmvc拦截,struts拦截器等)
配置公共访问地址

公开访问地址在resources/commonActions.properties文件中进行配置。
权限拦截流程:

这里写图片描述

权限拦截器


/**
 * 权限拦截器
 * @author Thinkpad
 *
 */
public class PermissionInterceptor implements HandlerInterceptor {

    //进入action方法前要执行
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {
        // TODO Auto-generated method stub
        //用户访问地址:
        String url  = request.getRequestURI();

        //判断是否公开权限,如果是放行

        //获取公开地址    
        List<String> url_list_open= ResourcesUtil.gekeyList(Config.ANONYMOUS_ACTIONS);

        //便利公开的地址,如果用户访问的地址url包括了公开的地址,则说明用户访问的地址就是公开的地址
        for(String url_v:url_list_open){
            if(url.contains(url_v)){
                return true;//放行,用户继续访问
            }
        }

        //校验用户访问的是否是公共权限
        //获取公共权限地址  
        List<String> url_list= ResourcesUtil.gekeyList(Config.COMMON_ACTIONS);

        //便利公开的地址,如果用户访问的地址url包括了公开的地址,则说明用户访问的地址就是公开的地址
        for(String url_v:url_list){
            if(url.contains(url_v)){
                return true;//放行,用户继续访问
            }
        }

        //从session获取用户权限信息

        HttpSession session  =request.getSession();

        ActiveUser activeUser = (ActiveUser)session.getAttribute(Config.ACTIVEUSER_KEY);

        //获取用户操作权限
        List<Operation> operation_list = activeUser.getOperationList();
        //校验用户访问地址是否在用户权限范围内
        for(Operation operation:operation_list){
             String url_operation = operation.getActionUrl();
             if(url.contains(url_operation)){
                    return true;//放行,用户继续访问
             }
        }       

        //跳转到页面
        request.getRequestDispatcher("/WEB-INF/jsp/base/refuse.jsp").forward(request, response);
        return false;
    }

    //action方法执行完但返回视图前执行此方法
    @Override
    public void postHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler,
            ModelAndView modelAndView) throws Exception {
        // TODO Auto-generated method stub

    }

    //action方法执行完且视图返回(渲染)完成执行此方法
    @Override
    public void afterCompletion(HttpServletRequest request,
            HttpServletResponse response, Object handler, Exception ex)
            throws Exception {
        // TODO Auto-generated method stub

    }

}

在springmvc.xml文件中 配置拦截器链


    <!-- 拦截器 -->
    <mvc:interceptors>
        <!-- 多个拦截器,顺序执行 -->
        <!-- 用户身份校验的拦截器 -->
        <mvc:interceptor>
            <mvc:mapping path="/**" />
            <bean class="yycg.base.filter.LoginInterceptor"></bean>
        </mvc:interceptor>
        <!--用户权限拦截器  -->
        <mvc:interceptor>
            <mvc:mapping path="/**" />
            <bean class="yycg.base.filter.PermissionInterceptor"></bean>
        </mvc:interceptor>

    </mvc:interceptors>

拦截器抛出异常
由于本系统提交结果为json格式数据,页面上由js函数进行解析,如果这里拦截器重定向到一个页面会导致js函数无法正确解析,这里需要将:

request.getRequestDispatcher("/WEB-INF/jsp/base/refuse.jsp").forward(request, response);
//改为:
//105表示“没有操作权限”
ResultUtil.throwExcepion(ResultUtil.createFail(Config.MESSAGE, 105, null));

异常处理器需要在处理返回页面方法中添加如下处理代码:
这里写图片描述

权限控制方案之——基于URL拦截
任长江
03-28 1万+
概述:          在系统开发过程中需要考虑的一个重要的问题就是权限问题,权限问题也是安全问题的一个范畴,我们要求在用户登录系统之后,要控制用户可以访问的系统资源,使得用户只可以访问到系统事先分配好的资源;这里的资源可以是一个URL地址,也可以是页面上的菜单和按钮等。对于实现权限的控制有多种方案,这里说明一下通过URL拦截的方式进行权限控制的实现方案。 基本流程:          对
医药采购系统平台第4天03:实现根据用户的角色显示不同用户的权限菜单&编写拦截器实现权限拦截&模块的开发流程和测试流程小节
最新发布
elastic_solr的博客
04-10 1268
实现根据用户的角色显示不同用户的权限菜单:VO类的定义 编写拦截器实现权限拦截:权限拦截流程图,将用户操作权限存入session中,编写和配置权限拦截器。 模块的开发流程和测试流程小节。 模块的开发流程和测试流程小节
医药采购系统用户管理模型分析
哎幽的成长
10-25 2880
3 用户管理模型 3.1 模型分析 业务是什么?业务就是用户需求。系统用户角色:卫生局、卫生院、卫生室、供货商、系统管理员用户: 登陆系统进行业务操作。实体分析: 系统用户表SYSUSER: 记录系统中所有用户 Id:主键 USERID 账号 USERNAME 名称 GROUPID:用户类别 0:系统管理员,1:卫生局 2:卫生院 3:卫生室 4:供货商 SYSID:系统用户
shiro教程(1)-基于url权限管理
好好学java
03-30 768
一、 权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2用户身份认证 1...
基于URL的权限管理学习总结
代码聚集地
03-05 616
其实就是一个简单拦截器功能,通过session进行权限的控制 主要分了两步1.认证2.授权 1.认证的具体代码实现 配置拦截器<mvc:interceptor> <!-- 用户认证拦截 --> <mvc:mapping path="/**" /> <bean class="cn.itcast.ssm.controller.
SSM项目-医药采购-07 用户认证
newlifely的博客
05-26 970
1.1 用户授权给用户分配操作权限,用户认证通过后,操作指定权限的功能。用户授权通过数据模型: 用户表、角色表、权限表(细化到操作链接)、用户角色关系表、角色权限关系表。企业中在实现用户授权功能时,通常对上边通过数据模型进行修改。本系统对权限表进行扩展:菜单表(模块表)、操作表(操作链接)1.2 用户认证实现流程本系统采用用户名密码认证方法。第一步:用户访问系统第二步:系统对用户访问资源校
课程设计-基于Java web的医药管理系统(源码+数据库+报告).zip
04-05
Struts框架简化了请求处理流程,使得开发更规范,同时提供了丰富的拦截器和标签库,方便开发者进行业务逻辑控制和视图渲染。 此外,"医药管理系统.doc"可能包含项目的详细设计文档或实施报告,涵盖了系统需求、功能...
SSM框架的模块化开发在医药信息系统中的实践:提高开发效率与代码质量
本文介绍了SSM框架(Spring、SpringMVC和MyBatis的结合)在医药信息系统的应用,并深入分析了其理论基础与模块化设计的重要性。文章详细阐述了SSM框架的核心组件,模块化开发的理论基础及实际应用,并探讨了如何将...
开源医药mis
xiexuzhao的专栏
05-07 1241
http://pan.baidu.com/s/1o683CpW
采购单审核
哎幽的成长
12-10 1907
约束: 卫生院只审核只乡/镇的卫生室下的采购单 卫生局审核全市卫生室下的采购单采用批量提交方法: 提交数据包括:yycgdid(采购单id)、审核结果 、审核意见 将页面提交数据传入action的:List yycgds中。数据库操作: 更新采购单表yycgd{year}的状态为(3:审核通过、或4:审核不通过)及审核意见 Mapper 先查询出监督单位监管的地区。然后通过监督单
Shiro的使用(一)
yankun01的博客
10-18 1939
shiro第一天 基于url权限管理 shiro基础     1       课程目标: 1、了解基于资源的权限管理方式 2、掌握权限数据模型 3、掌握基于url的权限管理(不使用shiro实现权限管理) 4、shiro实现用户认证 5、shiro实现用户授权 6、shiro与企业web项目整合开发的方法   2       课程安排 整个课程是系统架构设计相关的课程。
医药采购项目问题汇总
哎幽的成长
12-16 6567
1 请描述一下这个系统? 系统概述: 系统背景、系统概述。 本系统是一个市级的医药采购系统,由市卫生局指导 开发的,通过本系统实现医院上网采购药品,供货商上网销售/供应药品,监管单位网上监管,达到目标:药品交易的自动化、网络化、透明化。系统包括模块: 本系统包括:药品目录模块、采购单模块、退货单模块、结算单模块、统计分析模块、系统管理。系统业务流程:(如果面试不问不用直接说业务流程)
数据字典及其使用
热门推荐
哎幽的成长
11-01 11万+
1      数据字典 1.1     什么是数据字典 将如下这些具有相同类型的配置项,配置到系统的数据字典表中,方便系统维护,由超级管理员统一在后台进行数据字典维护,如果用户需求要增加变更配置项,只需要修改数据字典表记录即可,不需要修改代码。   1.2     数据字典需求 相同类型的配置项: 在系统中创建一个张记录数据字典类型  数据字典类型表记录数据的类型(例如用户状态)
spring security(八) session 并发,剔除前一个用户
哎幽的成长
08-23 1万+
解决 session 并发问题 ,同时只有一个用户在线。 有一个用户在线后其他的设备登录此用户将剔除前一个用户。强制前一个用户下线。本文代码,是基于 springboot+security restful权限控制官方推荐(五)的代码1.修改security配置添加 SessionRegistry,自己管理SessionRegistry。@Configuration @EnableWebSecuri
用户在线、离线、忙碌功能设计与实现
哎幽的成长
08-13 1万+
需求:需要在系统中展现,系统中用户的状态。展示用户是否在线、忙碌或者离线。做法: 使用 webSocket 建立链接,通过实时推送用户信息,达到用户状态的更新。 当用户登录时自动设置用户状态为上线,并推送用户信息到 前端。 当用户离线时自动设置用户状态为离线状态,并推送给前端。 通过 定时任务扫描在线用户,当在线用户的最后操作时间于当前时间差大于30 分钟(session失效时间),设置用户状态为离
springmvc+mybatis项目中的统一异常处理器
哎幽的成长
10-27 8160
统一异常处理 1.1     统一异常结果类型(不使用框架配置) Java中进行异常处理: 一类是可预知的异常,程序员在编码时,主动抛出的异常,为了给用户操作提示,提前检查代码中可能存在异常。 通过开发中,采用自定义的异常类,每个异常类表示每一类异常信息。类需要继承Exception类。 本系统采用统一异常类,提供一个属性标识异常类。   另一类是不可预知异常,就是runti
一个软件项目开始应该怎么入手分析,搭建
哎幽的成长
10-23 6005
对于一个的软工,做一个项目对项目的分析是很重要的一个步骤。项目分析清楚了才知道自己在做什么。写代码的时候自己心中也有轮廓。 这篇博客是分析一个医药管理平台系统。让我们跟着博客一步一步的分析这个系统吧。1 项目背景 首先了解项目背景,项目的作用? 解决了什么问题?医疗行业的问题:药价贵10年前,由国家卫生部统一指导,以省为单位创建一个平台:10年后,以省医药采购平台作为指导,作为基础,
dwr使用方法
哎幽的成长
12-11 4617
什么是dwr? DWR(Direct Web Remoting)是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架,可以帮助开发人员开发包含AJAX技术的网站.它可以允许在浏览器里的代码使用运行在WEB服务器上的JAVA函数,就像它就在浏览器里一样。Dwr调用方法普通ajax调用方法如下: Flex:用于flash编程,实现页面/视图层的开发 ,开发出的效果和网页样式不一样
医药采购采购单模块需求
哎幽的成长
11-17 4148
1      采购单模块需求 医院在采购药品时,先创建一个采购单,采购单内容包括本次采购的药品信息(采购量、采购金额),采购单创建成功后,需要提交到监管单位,由监管单位进行审核。审核通过后由供货商按照采购单的内容进行发货,医院收到药品后执行入库操作操作流程:   第一步:填写采购单基本信息 采购单明细信息:药品信息id、采购量、采购金额。      添加采购药品:  
实现拦截器权限管理的高效方法
标题“拦截器实现权限管理”指的是通过拦截器的方式,对软件系统中的用户访问权限进行控制。拦截器是一种设计模式,可以在请求到达指定的目标方法之前或之后进行拦截,执行一些额外的操作。在实现权限管理的场景下,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值