身份认证，权限控制，导航数据，日志管理

一，背景
这两天学习了springmvc的相关知识，企业现在项目开发提倡用springmvc、spring、mybatis整合开发。这也是这篇文章的环境。

二，目的
这篇文章主要是在我学习了springmvc的拦截器后引发的思考：利用springmvc实现项目开发中的身份认证，权限控制，导航数据，日志管理。并以此根据以前的开发经验总结了一下个人的看法。（这篇文章大部分是方法，并没有完整的开发代码）

三、springmvc的拦截器
HandlerInterceptor是Spring MVC为我们提供的拦截器接口，来让我们实现自己的处理逻辑，HandlerInterceptor 的内容如下：

public interface HandlerInterceptor {  
    boolean preHandle(  
            HttpServletRequest request, HttpServletResponse response,   
            Object handler)   
            throws Exception;  

    void postHandle(  
            HttpServletRequest request, HttpServletResponse response,   
            Object handler, ModelAndView modelAndView)   
            throws Exception;  

    void afterCompletion(  
            HttpServletRequest request, HttpServletResponse response,   
            Object handler, Exception ex)  
            throws Exception;  
}

可以看到接口有3个方法，其含义如下：

preHandle：在执行action里面的处理逻辑之前执行，它返回的是boolean，这里如果我们返回true在接着执行postHandle和afterCompletion，如果我们返回false则中断执行。

postHandle：在执行action里面的逻辑后返回视图之前执行。

afterCompletion：在action返回视图后执行。

HandlerInterceptorAdapter适配器是Spring MVC为了方便我们使用HandlerInterceptor而对HandlerInterceptor 的默认实现，里面的3个方法没有做任何处理，在preHandle方法直接返回true，这样我们继承HandlerInterceptorAdapter后只需要实现3个方法中我们需要的方法即可，而不像继承HandlerInterceptor一样不管是否需要3个方法都要实现。

四，身份认证
（1）需求：
1）用户请求url
2）拦截器进行拦截校验
如果请求的url是公开地址（无需登陆即可访问的url），让放行
如果用户session 不存在跳转到登陆页面
如果用户session存在放行，继续操作。

（2）实现

    //进入 controller方法之前执行
    //用于身份认证、身份授权
    //比如身份认证，如果认证通过表示当前用户没有登陆，需要此方法拦截不再向下执行
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler) throws Exception {

        //获取请求的url
        String url = request.getRequestURI();
        //判断url是否是公开 地址（实际使用时将公开 地址配置配置文件中）
        //这里公开地址是登陆提交的地址
        if(url.indexOf("login.action")>=0){
            //如果进行登陆提交，放行
            return true;
        }//可以通过配置去配置不需要拦截的公开地址

        //判断session
        HttpSession session  = request.getSession();
        //从session中取出用户身份信息
        String username = (String) session.getAttribute("username");

        if(username != null){
            //身份存在，放行
            return true;
        }

        //执行这里表示用户身份需要认证，跳转登陆页面
        request.getRequestDispatcher("/WEB-INF/jsp/login.jsp").forward(request, response);

        //return false表示拦截，不向下执行
        //return true表示放行
        return false;
    }

（3）配置：

上面这个的配置：
    <!--拦截器 -->
<mvc:interceptors>
    <!--多个拦截器,顺序执行 -->
    <!-- 登陆认证拦截器 -->
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <bean class="com.demo.interceptor.LoginInterceptor"></bean>
    </mvc:interceptor>
    <mvc:interceptor>
        <!-- /**表示所有url包括子url路径 -->
        <mvc:mapping path="/**"/>
        <bean class="com.demo.interceptor.HandlerInterceptor1"></bean>
    </mvc:interceptor>
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <bean class="com.demo.interceptor.HandlerInterceptor2"></bean>
    </mvc:interceptor>
</mvc:interceptors>


可以通过配置来设置不需要拦截的公开地址：
<!--配置拦截器, 多个拦截器,顺序执行 --> 
<mvc:interceptors>    
    <mvc:interceptor>    
        <mvc:mapping path="/**" />  
        <mvc:exclude-mapping path="/login" /> 
        <mvc:exclude-mapping path="/logout" /> 
        <mvc:exclude-mapping path="/logstate" /> 
        <mvc:exclude-mapping path="/loginvalidate"/>
        <mvc:exclude-mapping path="/pqms/**"/>
        <bean class="interceptor.LoginIntercepter"></bean>    
    </mvc:interceptor>  
</mvc:interceptors>

五、权限控制
现在大部分项目的权限的控制都采用的是：基于角色的访问控制（role-based access control）

（1）基于角色的访问控制的介绍：
具体参考：role-based access control

（2）权限控制的实现
具体参考：简单实现权限控制

六，导航数据
（1）导航数据其实和权限控制很类似，都是判断这人什么能干，什么不能干。但是原理是不一样的，权限控制是操作了，然后判断能不能干；而导航数据是进入系统的时候就要加载的数据。

导航数据加载实现有两张方法。

（2）方法一：
利用拦截器：在postHandle（在执行action里面的逻辑后返回视图之前执行）方法中，每次调用的时候在拦截器中加载，将数据放到model中，然后传到页面。

（3）方法二:
利用js加载：在每次访问的时候利用js动态的把导航数据加载过来，然后处理成导航数据，从而控制导航。

七，日志管理：两中实现方式
拦截器实现方式

springAOP实现方式