我们上一次完成了登录功能和session用户信息的保存和注销。下面我们完成登陆后有关权限鉴定的功能。
我们系统分了5大子系统,粗粒度的分了5个权限。
用户只要有对应系统的权限才可以访问相应的子系统。超级管理员可以访问所有子模块,一般的用户可能只能访问“我的空间”。
我们下面就来做一个权限鉴定,我们画个图来设计一下:
接下来编码实现:
我们要修改我们过滤器的代码
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest request=(HttpServletRequest)servletRequest;
HttpServletResponse response=(HttpServletResponse)servletResponse;
String uri=request.getRequestURI();
//判断当前请求地址是否是登录地址
if(!uri.contains("sys/login_")){
//非登录请求
if(request.getSession().getAttribute(Constant.USER)!=null){
//说明已经登录过
//判断是否访问纳税服务子系统
if(uri.contains("/tax/")){
//说明访问纳税服务子系统
User user=(User)request.getSession().getAttribute(Constant.USER);
PermissionCheck pc=new PermissionCheckImpl();
if(pc.isAccessible(user,"nsfw")){
//说明有权限,放行
chain.doFilter(request, response);
}else{
//没有权限,跳转到没有权限提示界面
response.sendRedirect(request.getContextPath()+"/sys/login_toNoPermissionUI.action");
}
}else{
//非访问纳税服务子系统,直接放行
chain.doFilter(request, response);
}
}else{
//没有登录,跳转到登录界面
response.sendRedirect(request.getContextPath()+"/sys/login_toLoginUI.action");
}
}else{
//登录请求,直接放行
chain.doFilter(request, response);
}
}
其中新添加了权限检查类PermissionCheck(分为接口和实现类),此类代码为:
接口:
package cn.edu.hpu.tax.core.permission;
import cn.edu.hpu.tax.user.entity.User;
public interface PermissionCheck {
/**
*判断用户是否有code对应的权限
* @param user 用户
* @param code 子系统的权限标识
* @return true or false
*/
public boolean isAccessible(User user,String code);
}
实现类:
package cn.edu.hpu.tax.core.permission.impl;
import javax.annotation.Resource;
import cn.edu.hpu.tax.core.permission.PermissionCheck;
import cn.edu.hpu.tax.role.entity.Role;
import cn.edu.hpu.tax.role.entity.RolePrivilege;
import cn.edu.hpu.tax.role.service.RoleService;
import cn.edu.hpu.tax.user.entity.User;
import cn.edu.hpu.tax.user.service.UserService;
public class PermissionCheckImpl implements PermissionCheck {
@Resource
private UserService userService;
@Resource
private RoleService roleService;
@Override
public boolean isAccessible(User user, String code) {
//1.获取用户的所有角色
String[] ids=userService.getRoleIdByUserId(user.getId());
Role role=null;
//2.根据每个角色对应的所有权限进行对比
for (int i = 0; i < ids.length; i++) {
role=roleService.findObjectById(ids[i]);
for (RolePrivilege rp:role.getRolePrivileges()) {
//对比是否有code对应的权限
if(code.equals(rp.getId().getCode())){
//说明有权限,返回true
return true;
}
}
}
return false;
}
}
在LoginAction中添加跳转到没有权限提示界面的方法:
//跳转到没有权限提示界面
public String toNoPermissionUI(){
return "noPermissionUI";
}
然后在struts中配置这个界面:
<result name="noPermissionUI">/WEB-INF/jsp/noPermissionUI.jsp</result>
没有权限访问模块的noPermissionUI.jsp界面代码:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
<head>
<title>没有权限</title>
</head>
<body>
对不起!您没有访问此功能的权限;请联系系统管理员。
<a href="javascript:history.go(-1)">《《返回</a>
</body>
</html>
我们不能每一次点击一个功能的时候就进行这样一次检查,因为每次都要进行查询数据库来查询用户的角色信息,我们要在登录的时候就去查询完成这个角色,然后之后每次鉴定的时候就无需再次进数据库查询:
我们在User中添加private List<role> roles;这个属性以及get和set方法。
然后在LoginAction的login方法中登录之后就将用户的所有权限信息都保存在用户的roles属性中(需要注入roleService),然后再将用户放入session,以后就可以利用session中的信息,无需再次查询数据库:
//登录
public String login(){
if(user!=null){
if(StringUtils.isNoneBlank(user.getAccount())
&&StringUtils.isNoneBlank(user.getPassword())){
//根据用户的账号和密码查询用户列表
List<User> list=userService.findUserByAccountAndPassword(user.getAccount(),user.getPassword());
if(list!=null&&list.size()>0){//说明登录成功
//1、登录成功
User user=list.get(0);
//1.1、根据用户id查询用户的所有角色信息
String[] ids=userService.getRoleIdByUserId(user.getId());
List<Role> rolelist=new ArrayList<Role>();
for (int i = 0; i < ids.length; i++) {
rolelist.add(roleService.findObjectById(ids[i]));
}
user.setRoles(rolelist);
//1.2、将用户信息保存到session中
ServletActionContext.getRequest().getSession().setAttribute(Constant.USER, user);
//1.3、将用户登录记录到日志文件
Log log=LogFactory.getLog(getClass());
log.info("用户名称为:"+user.getName()+"的用户登录了系统");
//1.4、重定向跳转到首页
return "home";
}else{
loginResult="账号或密码不正确!";
}
}else{
loginResult="账号或密码不能为空!";
}
}else{
loginResult="请输入账号和密码!";
}
return toLoginUI();
}
然后修改PermissionCheckImpl的检查代码,让其不再去查询数据库。
package cn.edu.hpu.tax.core.permission.impl;
import java.util.List;
import cn.edu.hpu.tax.core.permission.PermissionCheck;
import cn.edu.hpu.tax.role.entity.Role;
import cn.edu.hpu.tax.role.entity.RolePrivilege;
import cn.edu.hpu.tax.user.entity.User;
public class PermissionCheckImpl implements PermissionCheck {
@Override
public boolean isAccessible(User user, String code) {
//1.获取用户的所有角色
List<Role> rolelist=user.getRoles();
Role role=null;
//2.根据每个角色对应的所有权限进行对比
for (int i = 0; i < rolelist.size(); i++) {
role=rolelist.get(i);
for (RolePrivilege rp:role.getRolePrivileges()) {
//对比是否有code对应的权限
if(code.equals(rp.getId().getCode())){
//说明有权限,返回true
return true;
}
}
}
return false;
}
}
我们来验证一下我们的权限鉴定是否可行:
我们没有给“李向阳”设定访问纳税服务的权限,所以当我们登录李向阳的账号之后点击“纳税服务”模块时,弹出下列窗口:
当我们使用其它有此权限的账号登录的时候,可以进入“纳税服务”模块。
至此,我们的权限鉴定功能完成。
还有一个问题,我们删除用户的时候是物理删除(当然后期不是物理删除),我们删除用户之后还需要将用户所有的角色信息给删除,防止脏数据。
所以我们修改UserServiceImpl的delete方法:
@Override
public void delete(Serializable id) {
userDao.delete(id);
//删除用户对应的所有权限
userDao.deleteUserRoleByUserId(id.toString());
}
这样,当我们删除用户的时候,就会连用户的角色一起删除。
2.登录嵌套的解决
还有一个问题,当我们登陆之后过了好一段时间没有操作,点击某个功能的时候会出现这种情况:
这就是所谓的登录嵌套,是什么原因呢?
原因就是我们的session是有时间限制的,当session失效的时候,点击frame框架里的侧边栏,在右边主界面显示的就是我们的功能模块页面,但是由于我们设置了过滤器,我们的过滤器检测到用户的session不存在,所以就会跳转至登录界面,就造成了上面那种情况。
解决办法:
就是让登录界面知道自己在哪里(浏览器里还是frame里)
找到我们的登录jsp,在其中添加此代码:
//解决子框架嵌套的问题
if(window != window.parent){
window.parent.location.reload(true);
}
也就是当此界面不是在主窗口的时候,我们就刷新主窗口的地址。
至此,我们的权限鉴定和解决嵌套登录完成。
工程源代码下载:http://download.csdn.net/detail/u013517797/9246763
转载请注明出处:http://blog.csdn.net/acmman/article/details/49680255