Struts2中基于Annotation的细粒度权限控制

最新推荐文章于 2018-10-20 08:42:31 发布
转载 最新推荐文章于 2018-10-20 08:42:31 发布 · 133 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/shoru/archive/2009/09/11/1564718.html
文章标签:

#java #测试 #开发工具

本文介绍了一种在Struts2框架中实现权限控制的方法。利用Java的Annotation特性及Struts2的拦截器,实现了对Action方法级别的权限校验。这种方法避免了大量配置文件的使用,同时保持了代码的简洁性和可维护性。
【晋哥哥原创】转载请保留此信息: http://shoru.cnblogs.com/

      权限控制是保护系统安全运行很重要的一扇门。在web应用里,仅仅隐藏url是不够的。由于web应用是以请求/响应为单位的,我们的权限控制的粒度只有达到这个程度才能让全国人民放心。在java web开发的世界里,MVC框架的使用再平常不过,大都是将请求拦截后,控制器根据配置文件将请求转给某个函数来处理。下面看看在struts2中我们可以用的几种方案:
      1、在每个函数里进行权限校验
      这主意实在是简单,缺点我就不说了~太多了~
      2、在每个请求对应的Action的配置项里配置参数,用以标示访问此Action需要的权限,再用拦截器处理
      以前我这么做过,比方案1好很多,不过这注定你无法实现ZeroConfig。在ROR的促进下,约定优于配置渐渐深入人心。本人就极其反感大量的配置文件。但是由于权限配置提到XML里配置,最大的好处就是我不必重新编译代码就能改变权限关联。不过情况下遇到需求变更,你会有一种宁可去改代码的冲动。
      3、结合Java的Annotation和Struts2的拦截器控制权限
      下面是上午没事写的一个示例:访问login.jsp,登录,功能有eat和drink,用户登陆后只能访问已授权的功能链接。
      基本思想:对每个Action方法进行注解,并注入一个资源字符串,部署一个拦截器,在每个请求之前拦截一下,通过反射拿到所调用的方法及其注解,依此来进行权限校验。
      优点:
      简单、可行性高
      不修改MVC框架配置文件
      不影响Action内的业务逻辑
      注解的原则之一就是不影响代码的运行,这也实现了本方案的可插拔性、独立性高
      更高的可配置性
      缺点:
      不知道对性能影响如何

      代码基本上都贴到下面了,不想细讲了,有兴趣的可以留言讨论,觉得我火星的就不要拍砖了,有需要eclipse工程源码的发邮件问我要shoru#163.com。



      (1)Annotation相关
ContractedBlock.gif ExpandedBlockStart.gif Access
 1package com.shoru.access;
 2
 3import java.lang.annotation.ElementType;
 4import java.lang.annotation.Retention;
 5import java.lang.annotation.RetentionPolicy;
 6import java.lang.annotation.Target;
 7
 8ExpandedBlockStart.gifContractedBlock.gif/** *//**
 9 * 访问控制注解
10 * 该注解保留到运行时,针对方法使用,默认为BLOCK
11 * @author Shoru
12 * @version 0.1
13 */
14@Retention(RetentionPolicy.RUNTIME)
15@Target(ElementType.METHOD)
16ExpandedBlockStart.gifContractedBlock.gifpublic @interface Access {
17ExpandedSubBlockStart.gifContractedSubBlock.gif    String[] value() default { AccessOption.BLOCK };
18}

ContractedBlock.gif ExpandedBlockStart.gif AccessOption
 1package com.shoru.access;
 2
 3ExpandedBlockStart.gifContractedBlock.gif/** *//**
 4 * 访问控制接口,定义默认的控制常量
 5 * @author Shoru
 6 * @version 0.1
 7 */
 8ExpandedBlockStart.gifContractedBlock.gifpublic interface AccessOption {
 9ExpandedSubBlockStart.gifContractedSubBlock.gif    /** *//**
10     * 拦截访问
11     */
12    public static String BLOCK="block";
13ExpandedSubBlockStart.gifContractedSubBlock.gif    /** *//**
14     * 通过访问
15     */
16    public static String PASS="pass";
17ExpandedSubBlockStart.gifContractedSubBlock.gif    /** *//**
18     * 要求登录
19     */
20    public static String LOGIN="login";
21}

ContractedBlock.gif ExpandedBlockStart.gif UserAccessOption
 1package com.shoru.access;
 2
 3
 4ExpandedBlockStart.gifContractedBlock.gif/** *//**
 5 * 用户自定义控制接口,继承自AccessOption
 6 * 可将系统权限全部定义到此处,格式为:权限名=资源名
 7 * @author Shoru
 8 * @see AccessOption
 9 */
10ExpandedBlockStart.gifContractedBlock.gifpublic interface UserAccessOption extends AccessOption {
11    public static String EAT = "eat";
12    public static String DRINK = "drink";
13}

      (2)Action类
ContractedBlock.gif ExpandedBlockStart.gif AccessAction
 1package com.shoru.access.action;
 2
 3import java.util.ArrayList;
 4import java.util.List;
 5
 6import com.opensymphony.xwork2.Action;
 7import com.opensymphony.xwork2.ActionContext;
 8import com.shoru.access.Access;
 9import com.shoru.access.UserAccessOption;
10
11ExpandedBlockStart.gifContractedBlock.gifpublic class AccessAction implements Action {
12    @Access
13ExpandedSubBlockStart.gifContractedSubBlock.gif    public String execute() throws Exception {
14        return SUCCESS;
15    }
16
17    @Access(UserAccessOption.PASS)
18ExpandedSubBlockStart.gifContractedSubBlock.gif    public String index() throws Exception {
19ExpandedSubBlockStart.gifContractedSubBlock.gif        /**//*
20         * 此处模拟权限的获取
21         */
22        List<String> accessPoints = new ArrayList<String>();
23ExpandedSubBlockStart.gifContractedSubBlock.gif        /**//*
24         * 赋予eat权限
25         */
26        accessPoints.add("eat");
27        ActionContext.getContext().getSession().put("access", accessPoints);
28        return SUCCESS;
29    }
30
31    @Access(UserAccessOption.DRINK)
32ExpandedSubBlockStart.gifContractedSubBlock.gif    public String drink() throws Exception {
33        return SUCCESS;
34    }
35
36ExpandedSubBlockStart.gifContractedSubBlock.gif    @Access( { UserAccessOption.EAT })
37ExpandedSubBlockStart.gifContractedSubBlock.gif    public String eat() throws Exception {
38        return SUCCESS;
39    }
40}

      (3)拦截器
ContractedBlock.gif ExpandedBlockStart.gif AccessInterceptor
 1package com.shoru.access.interceptor;
 2
 3import java.lang.annotation.Annotation;
 4import java.lang.reflect.Method;
 5import java.util.List;
 6
 7import com.opensymphony.xwork2.ActionContext;
 8import com.opensymphony.xwork2.ActionInvocation;
 9import com.opensymphony.xwork2.interceptor.Interceptor;
10import com.opensymphony.xwork2.util.AnnotationUtils;
11import com.shoru.access.Access;
12import com.shoru.access.AccessOption;
13
14ExpandedBlockStart.gifContractedBlock.gifpublic class AccessInterceptor implements Interceptor {
15
16    private static final long serialVersionUID = -1066389312400000758L;
17
18    List<String> accessPoints = null;
19
20ExpandedSubBlockStart.gifContractedSubBlock.gif    public void init() {
21
22    }
23
24ExpandedSubBlockStart.gifContractedSubBlock.gif    public void destroy() {
25        accessPoints = null;
26    }
27
28ExpandedSubBlockStart.gifContractedSubBlock.gif    public String intercept(ActionInvocation invocation) throws Exception {
29ExpandedSubBlockStart.gifContractedSubBlock.gif        if (accessPoints == null{
30ExpandedSubBlockStart.gifContractedSubBlock.gif            /**//*
31             * 获取权限列表
32             */
33            accessPoints = (List<String>) ActionContext.getContext()
34                    .getSession().get("access");
35        }
36ExpandedSubBlockStart.gifContractedSubBlock.gif        /**//*
37         * 获取此次调用的方法名
38         */
39        String method = invocation.getProxy().getMethod();
40ExpandedSubBlockStart.gifContractedSubBlock.gif        /**//*
41         * 获取所有已注解方法
42         */
43        List<Method> methods = AnnotationUtils.findAnnotatedMethods(invocation
44                .getAction().getClass(), Access.class);
45ExpandedSubBlockStart.gifContractedSubBlock.gif        /**//*
46         * 迭代所有已注解方法
47         */
48ExpandedSubBlockStart.gifContractedSubBlock.gif        for (Method m : methods) {
49ExpandedSubBlockStart.gifContractedSubBlock.gif            if (m.getName().equals(method)) {
50ExpandedSubBlockStart.gifContractedSubBlock.gif                /**//*
51                 * 获取被调用方法的注解
52                 */
53                Annotation annotation = m.getAnnotation(Access.class);
54ExpandedSubBlockStart.gifContractedSubBlock.gif                /**//*
55                 * 放过不需要校验权限列表的请求,e.g.登录、验证码
56                 */
57ExpandedSubBlockStart.gifContractedSubBlock.gif                for (String s : ((Access) annotation).value()) {
58ExpandedSubBlockStart.gifContractedSubBlock.gif                    if (s.equals(AccessOption.PASS)) {
59                        return invocation.invoke();
60                    }
61                }
62ExpandedSubBlockStart.gifContractedSubBlock.gif                /**//*
63                 * 权限列表为空,返回登录
64                 */
65ExpandedSubBlockStart.gifContractedSubBlock.gif                if (accessPoints == null{
66                    return AccessOption.LOGIN;
67                }
68ExpandedSubBlockStart.gifContractedSubBlock.gif                /**//*
69                 * 迭代方法注解里的值,判断是否存在于权限列表中
70                 */
71ExpandedSubBlockStart.gifContractedSubBlock.gif                for (String s : ((Access) annotation).value()) {
72ExpandedSubBlockStart.gifContractedSubBlock.gif                    if (accessPoints.indexOf(s) != -1{
73ExpandedSubBlockStart.gifContractedSubBlock.gif                        /**//*
74                         * 权限校验通过
75                         */
76                        return invocation.invoke();
77                    }
78                }
79            }
80        }
81ExpandedSubBlockStart.gifContractedSubBlock.gif        /**//*
82         * 没有对方法进行注解或者权限校验不通过,拦截此次请求
83         */
84        return AccessOption.BLOCK;
85    }
86}
      (4)struts.xml
ContractedBlock.gif ExpandedBlockStart.gif struts.xml
 1<?xml version="1.0" encoding="UTF-8"?>
 2<!DOCTYPE struts PUBLIC
 3    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
 4    "http://struts.apache.org/dtds/struts-2.0.dtd">
 5<struts>
 6    <package name="access" extends="struts-default">
 7        <interceptors>
 8            <!-- 权限拦截器 -->
 9            <interceptor name="access"
10                class="com.shoru.access.interceptor.AccessInterceptor"></interceptor>
11            <interceptor-stack name="my-default">
12                <interceptor-ref name="access"></interceptor-ref>
13                <interceptor-ref name="defaultStack"></interceptor-ref>
14            </interceptor-stack>
15        </interceptors>
16        <default-interceptor-ref name="my-default"></default-interceptor-ref>
17        <global-results>
18            <result name="block">/login.jsp</result>
19            <result name="login">/login.jsp</result>
20        </global-results>
21        <!-- Zero Config All Actions -->
22        <action name="*" class="com.shoru.access.action.AccessAction"
23            method="{1}">
24            <result>/{1}.jsp</result>
25        </action>
26    </package>
27</struts>
 

转载于:https://www.cnblogs.com/shoru/archive/2009/09/11/1564718.html

JAVAWEB开发之权限管理(一)——权限管理详解(权限管理原理以及方案)、不使用权限框架的原始授权方式详解
07-13 10万+
知识清单 1.了解基于资源的权限管理方式 2. 掌握权限数据模型 3. 掌握基于url的权限管理(不使用Shiro权限框架的情况下实现权限管理) 4. shiro实现用户认证 5. shiro实现用户授权 6. shiro与企业web项目整合开发的方法 权限管理原理知识 什么是权限管理 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制。按照安全规则或安全策
struts2升级之后报错“java.lang.NoSuchMethodError: org.apache.commons.lang3.reflect.MethodUtils.getAnnotatio
qq_44790703的博客
08-18 3065
struts22.3.37升到2.5.22后报错如下: 17-Aug-2020 17:27:46.966 SEVERE [http-nio2-8083-exec-3] org.apache.catalina.core.StandardWrapperValve.invoke Servlet.service() for servlet [default] in context with path [/yizhiting] threw exception [Filter execution threw an
struts2的CRUD中的权限控制初探(转)
weixin_33910434的博客
01-28 104
在信息管理系统中,涉及到最多的就是对信息(数据)的增删改查,当然在真是的系统中,对于这些操作要控制在严格的权限中,在前面的文章中,我们已经使用 struts2+hibernate+spring实现了简单的crud操作,现在我们就来研究下如何给这些相关操作增加权限控制。 当然最简单的实现就是在每个Action的CRUD方法中首先判断登陆用户的权限,如果没有此方法操...
通过struts2拦截器实现权限管理
wmj2003
08-29 101
packagecom.work.qxgl.login; importjava.util.List; importjava.util.Map; importjavax.servlet.http.HttpServletRequest; importorg.apache.commons.logging.Log; importorg.apache.comm...
struts2细粒度的权限拦截
粉末无颜的专栏
05-30 1256
权限控制是每个系统都应该具备的功能,尤其是对struts2中权限方法的控制就更加重要了。 思路: 1.先定义一个用于识别在进行action调用的时候标注该方法调用是否需要权限控制,需要什么样的权限的注解类。该注解类一般会包括两个属性,一个是需要的权限,一个是对应的action。   2.然后就是在需要进行权限控制的action方法上加上该注解类,并标明其应该拥有的权限和对应的a
关于appfuseStruts2.0.1中AnnotationUtils.findAnnotation(User.class, Table.class) 报错问题
wuwenlong527的专栏
03-28 1874
  I create a new project with appfuse-basic-struts. and after i executed mvn appfuse:full-source mvn clean mvn eclipse:eclipse and import the project into my eclipse, there is an compile error in line
利用反射与注解实现Struts2精细权限控制
通过这种方式,Struts2框架结合反射和自定义注解,提供了灵活且可扩展的权限控制机制,使得开发者可以根据实际需求对Action方法进行细粒度的权限管理。这对于大型、安全要求高的企业级应用来说,是一项重要的功能...
权限管理 struts2 hiberante3.5 spring3.0 annotation
01-29
Spring Security(前身为Acegi Security)是Spring生态系统中的一个强大安全框架,支持细粒度权限控制。在Spring中,我们可以使用`@Secured`或`@PreAuthorize`等注解在方法级别上进行权限检查。此外,Spring的事务...
掌握Struts2拦截器扩展与Java注解应用
Struts2框架中,拦截器的作用类似于过滤器(Filter),但拦截器比过滤器更细粒度。每个拦截器都可以实现一个或多个接口(如`Interceptor`接口),并在请求处理流程中的某个点执行代码。拦截器可以用于执行以下操作...
深入理解Struts2、Hibernate与Spring整合实践项目
在权限管理中,Hibernate可以配合安全框架如Spring Security实现数据的细粒度访问控制。例如,通过在Hibernate实体类上使用注解定义权限规则,然后结合AOP(面向切面编程)技术,可以在运行时自动检查用户权限,确保...
strutsjava.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils的解决办法
编程语言小筑
08-09 892
一年前,自己学Struts时,就发现用了struts的标签,就会报这个鸟错误,一年前自己比较菜,也不知道怎么解决问题,又由于有已经搭好的环境,所以没深究,就过去了。。。 今天,想试一个Struts的标签,结果又来了这个鸟错误:java.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils 网上总说和什么jso...
java.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils
09-15 2210
java.lang.NoClassDefFoundError: com/opensymphony/xwork2/util/TextUtils 在struts 2.1.8 和 strut2 json plug 搭配是出现此异常。。 java.lang.NoClassDefFou
java.lang.ClassNotFoundException: com.opensymphony.xwork2.util.ValueStack
evilcry2012的专栏
07-23 1971
struts2突然报错,原先运行好好的,求高手解答! [问题点数:40分,结帖人sqs201]             不显示删除回复           显示所有回复            显示星级回复           显示得分回复            只显示楼主          收藏 sqs201 七彩邪云
struts2 18拦截器详解(十八) --- AnnotationValidationInterceptor
云原生之家
11-06 3440
AnnotationValidationInterceptor    AnnotationValidationInterceptor拦截器处于defaultStack第十七的位置,主要是用于数据校验的,该拦截器继承自ValidationInterceptor拦截器增加了在方法上使用注解取消校验功能。ValidationInterceptor又继承自MethodFilterInterc
Spring5 Spring AnnotationUtils处理注解
weixin_33691817的博客
03-21 1768
为什么80%的码农都做不了架构师?>>> ...
spring注解工具类AnnotatedElementUtils和AnnotationUtils
胡峻峥的博客
10-20 9152
一、前言   spring为开发人员提供了两个搜索注解的工具类,分别是AnnotatedElementUtils和AnnotationUtils。在使用的时候,总是傻傻分不清,什么情况下使用哪一个。于是我做了如下的整理和总结。 二、AnnotationUtils官方解释   功能   用于处理注解,处理元注解,桥接方法(编译器为通用声明生成)以及超级方法(用于可选注解继承)的常规实用程序方...
权限管理——按钮粒度
weixin_30535167的博客
11-10 184
在WEB 系统中的按钮定位到具体的某个按钮——增删改查、浏览 用户表 用户角色表 用户权限表user( user_role( user_power( id int, id int, id int, use...
深入解析基于Struts2、Hibernate3.5和Spring3.0 Annotation的权限管理
- **Action访问控制**:Struts2框架中可以通过配置拦截器来实现访问控制,例如,自定义一个拦截器检查用户是否有执行某Action的权限。 - **拦截器栈**:可以配置一系列拦截器来形成拦截器栈,用于在处理请求之前进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值