简单的struts权限拦截器

于 2008-06-19 14:32:40 发布
阅读量113 收藏
点赞数
分类专栏: Java 文章标签: Struts SSH
自己做一个简单的东东,使用ssh,说实话strut2的拦截器感觉还是比较灵活,由于系统比较简单,权限验证就全部由一个拦截器完成 

public class AuthorizeInterceptor implements Interceptor {
	private static final long serialVersionUID = 1L;
	private static final Log log = LogFactory.getLog(AuthorizeInterceptor.class);
	public static final String USR_KEY = "nbrc.user";
	public static final String LOGIN_URL = "login";
	@Override
	public String intercept(ActionInvocation inv) throws Exception {
		log.info("AuthorizeInterceptor进入拦截器");
		Object action = inv.getAction();
		if(action instanceof AuthorizeAction){ 
                //需要验证的action全部实现AuthorizeAction接口
			log.info("需要验证的action");
			User u = (User) inv.getInvocationContext().getSession().get(USR_KEY);
			if(u==null){
				log.info("用户信息不存在");
				return LOGIN_URL;
			}else{
				AuthorizeAction author = (AuthorizeAction) action;
				author.setUser(u);
                                //把用户信息放入action上下文
				if(author.validateUser()){
                                //action的validateUser方法判断用户是否有权限
					log.info("验证用户通过");
					return inv.invoke();
				}else{
					log.info("验证不通过,用户没有权限");
					return LOGIN_URL;
				}
			}
		}else{								
			log.info("不需要用户验证的action");
			return inv.invoke();
		}
	}
	@Override
	public void destroy() {		
	}

	@Override
	public void init() {		
	}
}

后来发现,这样做有一个不好的地方,就是验证是action级别的,而不是方法级别的,粒度太大了,我自己的代码又比较乱,最近在看annotation相关的资料,心中一动,就想把验证的改成用annotation来实现,只需要在方法上标注可以调用该方法的角色,就可以了,拦截器的代码如下: 

public class AuthorizeInterceptor implements Interceptor {
	private static final long serialVersionUID = 1L;
	private static final Log log = LogFactory.getLog(AuthorizeInterceptor.class);
	public static final String USR_KEY = "nbrc.user";
	public static final String USR_LOG_CNT="nbrc.logincount";
	public static final String USR_LAST_LOG="nbrc.lastlogin";
	public static final String LOGIN_URL = "login";
	@Override
	public String intercept(ActionInvocation inv) throws Exception {
		log.info("AuthorizeInterceptor进入拦截器");
		Object action = inv.getAction();
		User u = (User) inv.getInvocationContext().getSession().get(USR_KEY);
		String method  = inv.getProxy().getConfig().getMethodName();
		Method m = action.getClass().getMethod(method);		
		String[] roles = null;
		if(m.isAnnotationPresent(AllowRoles.class)){
			AllowRoles ar = m.getAnnotation(AllowRoles.class);
			 roles = ar.roleNames();
			 if(isAllowed(roles,u)){
				 log.info("验证用户通过");
				 return inv.invoke();				 
			 }else{
				 log.info("验证不通过,用户没有权限");
				return LOGIN_URL;
			 }
		}else{
			 log.info("没有Annotation,直接运行");
			return inv.invoke();
		}
	}
	private boolean isAllowed(String[] roles, User usr) {
		if(roles[0].equals("*") && usr!=null){
			log.info("允许用户的权限:*");
			return true;
		}
		if(usr!=null){
			String priv = usr.getPriv();
			for(String r : roles){
				if(r.equals(priv)){
					log.info("允许用户的权限:"  + r);
					return true;
				}
			}
		}
		return false;
	}
	@Override
	public void destroy() {		
	}

	@Override
	public void init() {		
	}
}


annotation的定义如下: 

@Retention(RetentionPolicy.RUNTIME)
public @interface AllowRoles {
	public String[] roleNames();
}

匿名可访问的方法可以不用标注,如果是"*",表示需要登录的用户才能访问 

	@AllowRoles(roleNames="dangwei")
	public String execute(){
		//TODO:method here
	}

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值