SSM實現權限管理(三)

原創 两个蝴蝶飞 2020-05-12 18:59

勿以惡小而爲之,勿以善小而不爲--------------------------劉備

勸諸君,多行善事積福報,莫作惡

上一章簡單介紹了 Servlet實現RBAC權限管理(二) ,如果沒有看過,請觀看上一章

在學習這一章節之前,一定要觀看上一章節的內容,代碼和思路,與上一章節類似,也需要掌握 SSM框架的相應知識。

如果不瞭解 SSM框架的相應知識,可以觀看 老蝴蝶以前寫的文章。

一. 準備階段

一.一 數據庫準備階段

準備與上一章節的數據庫結構和內容都一樣,只是將權限表 privilege 的url 地址改變了一下,由 servlet 訪問路徑改變成了 springmvc 訪問路徑。

有圖片

一.二 SSM框架搭建和前端頁面

SSM框架,採用 Maven 方式進行搭建,所用到依賴和配置文件,均採用SSM整合時的內容,

詳細可以看: Maven整合SSM項目(七)

頁面也採用上一章節的頁面信息。

框架搭建後的目錄結構如圖所示:

有圖片

二. 權限認證

二.一 認證和授權

二.一.一 認證

二.一.一.一 認證的 前端js 頁面

html 頁面:

有圖片

腳本代碼:

$(function(){
		$("#submit").click(function(){
			var code=$("#code").val();
			var password=$("#password").val();
			
			var info=new Object();
			//傳入進去,員工的id編號
			info.code=code;
			info.password=password;
			
			$.post("${pageContext.request.contextPath}/User/login",info,function(data){
				if(data.response_status){
					alert("登錄成功");
					window.location.href="${pageContext.request.contextPath}/Main/toMain";
				}else{
					if(data.error_msg=="001"){
						alert("用戶名或者密碼錯誤");
					}
				}
			},"json")
			
		})
	})

二.一.一.二 後端登錄處理

在 UserAction 下面的 login() 方法裏面。

@RequestMapping("/login")
	@ResponseBody
	public Map<String,Object> login(User userInfo,HttpSession session){
		//將請求信息,封裝到對象裏面。
		Map<String,Object> map=new HashMap<String,Object>();
		//從數據庫中查詢密碼
		User user=userService.login(userInfo);
		
		if(user!=null){
			//說明登錄成功,放置到session裏面
			session.setAttribute("loginUser",user);
			
			//查詢一下,該員工的 按鈕權限信息。
			List<Privilege> privilegeList= privilegeService.getPrivilegeByUId(user.getId(),2);
			
			List<String> priCodeList=new ArrayList<String>();
			for(Privilege pri:privilegeList){
				if(pri.getPercode()!=null){
					//放置標識
					priCodeList.add(pri.getPercode());
				}
			
			}
			//將權限轉換成 json 字符串
			ObjectMapper objMapper=new ObjectMapper();
			Map<String,List<String>> priCodeMap=new HashMap<String,List<String>>();
			priCodeMap.put("data", priCodeList);
			String priValueString="";
			try {
				priValueString = objMapper.writeValueAsString(priCodeMap);
			} catch (JsonProcessingException e) {
				// TODO 自動生成的 catch 塊
				e.printStackTrace();
			}
			session.setAttribute("privilegeList",priValueString);
			
			//登錄成功
			map.put("response_status", true);
			
		}else{
			//代碼爲001,表示用戶名或者密碼錯誤
			map.put("response_status", false);
			map.put("error_code","101");
		}
		
		return map;
		
	}

二.一.二 授權

二.一.二.一 左側菜單展示

1.html 頁面元素

有圖片

2.js 腳本處理

有圖片

3.後端的 Mapper 查詢, 在 PrivilgeMapper.xml 裏面。

 <select id="findByUid" resultMap="BaseResultMap">
    select 
    <include refid="Base_Column_List" />
    from privilege a where a.id in (
		select rp.pid from user_role ur left join role_privilege rp
		on ur.rid=rp.rid
		where ur.uid=#{uId,jdbcType=INTEGER}
	)
	<if test="type != null and type !=''" >
      and a.type=#{type,jdbcType=INTEGER}
    </if>
  </select>

二.一.二.二 部門表按鈕顯示

與前面是一致的.

1 . 設置標識

<script>
		//獲取權限 
		var privilegeList='<%=session.getAttribute("privilegeList")%>';	
		//console.log("值是:"+privilegeList+","+typeof(privilegeList));
		var objPrivilegeList=JSON.parse(privilegeList);
		$.each(objPrivilegeList.data,function(idx,item){
			//將標識存放在 sessionStorage 裏面,進行暫時的保存。 
			sessionStorage.setItem(item,true);
		})
	</script>
<script type="text/javascript" src="${pageContext.request.contextPath}/static/js/dept.js"></script>

2 . 通過標識,對部門表的按鈕元素進行顯示或者隱藏

有圖片

二.二 權限驗證測試

通過對 admin,yuejl,yuezl 三個不同的角色進行登錄,可以正常地相應的菜單權限和按鈕權限。

也同樣,需要處理過濾器,只是在 SpringMVC 裏面,叫做攔截器。

關於攔截器的使用,可以看老蝴蝶以前寫得文章: SpringMVC的攔截器(十四)

二.三. 登錄和授權攔截器

二.三.一 編寫攔截器 LoginInterceptor

package com.yjl.action;

import java.util.ArrayList;
import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.yjl.pojo.Privilege;
import com.yjl.pojo.User;
import com.yjl.service.PrivilegeService;
/**
 * 
 * @author 兩個蝴蝶飛
 *
 * 登錄和授權攔截器
 */
public class LoginInterceptor implements HandlerInterceptor{
	
	@Autowired
	private PrivilegeService privilegeService;
	//不需要登錄驗證的url
		private static List<String> noLoginValidateUrl;
		//不需要權限驗證的url
		private static List<String> noPriValidateUrl;
		
		//跳轉到的登錄頁面
		private static String LOGIN_URL;
		//沒有權限的界面
		private static String NO_PRIVILEGE_URL;
		
		static{
			noLoginValidateUrl=new ArrayList<String>();
			
			//靜態資源
			noLoginValidateUrl.add("/static/");
			//登錄頁面
			noLoginValidateUrl.add("/User/toLogin");
			//登錄方法
			noLoginValidateUrl.add("/User/login");
			
			
			noPriValidateUrl=new ArrayList<String>();
			
			noPriValidateUrl.add("/Main/toMain");
			//查詢權限
			
			
			noPriValidateUrl.add("/Privilege/getPrivilegeByUId");
			//退出
			noPriValidateUrl.add("/User/logout");
			
			LOGIN_URL="/WEB-INF/jsp/login.jsp";
			
			NO_PRIVILEGE_URL="/WEB-INF/jsp/noPrivilege.jsp";
		}
		
		
	@Override
	public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, Exception arg3)
			throws Exception {
		// TODO 自動生成的方法存根
		
	}

	@Override
	public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2, ModelAndView arg3)
			throws Exception {
		// TODO 自動生成的方法存根
		
	}

	@Override
	public boolean preHandle(HttpServletRequest req, HttpServletResponse resp, Object arg2) throws Exception {

		//獲取Session
		HttpSession session=req.getSession();
		
		//請求路徑
		String realPath=req.getRequestURI();
		System.out.println("地址是:"+realPath);
		
		//驗證是否在 不需要驗證登錄的url裏面
		if(isContain(realPath,1)){
			return true;
		}
		//如果爲空,表示沒有登錄
		if(session.getAttribute("loginUser")==null){
			req.getRequestDispatcher(LOGIN_URL).forward(req,resp);
			return false;
		}else{
			
			//不需要驗證權限
			if(isContain(realPath,2)){
				return true;
			}
			//如果不爲空,表示登錄了。
			//重新獲取全部權限 , 需要緩存, 這兒不用緩存。
			User user=(User)session.getAttribute("loginUser");
			List<Privilege> privilegeList=privilegeService.getPrivilegeByUId(user.getId(),null);
			if(privilegeList!=null&&privilegeList.size()>0){
				boolean isHavePri=false;
				for(Privilege pri:privilegeList){
					if(pri.getUrl()!=null){
						if(realPath.contains(pri.getUrl())){
							isHavePri=true;
							break;
						}
					}
				}
				if(isHavePri){
					//放行
					return true;
				}else{
					req.getRequestDispatcher(NO_PRIVILEGE_URL).forward(req,resp);
					return false;
				}
			}
			return false;
			
		}
		
	}
	private boolean isContain(String realPath,int type){	
		List<String> urls;
		if(type==1){
			urls=noLoginValidateUrl;
		}else{
			urls=noPriValidateUrl;
		}
		
		boolean flag=false;
		
		for(String url:urls){
			//包括,返回-1
			if(realPath.indexOf(url)!=-1){
				flag=true;
				break;
			}
		}
		return flag;
		
	}
}

二.三.二 配置攔截器

在springmvc.xml 配置文件中進行配置

有圖片

按照上一章節的方式進行測試,發現測試正確,不同的用戶具有不同的角色,老蝴蝶這兒就不再次貼圖了。

本章節的代碼鏈接爲:

鏈接:https://pan.baidu.com/s/1PChrWK9l02ANccerzc7rsg 
提取碼:iwvj

謝謝您的觀看,如果喜歡,請關注我,再次感謝 !!!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

security+jwt 動態權限控制RBAC0

** 圖片請看我的博客 ** RBAC0模型 最簡單的用戶、角色、權限模型。這裏面又包含了2種: 用戶和角色是多對一關係,即:一個用戶只充當一種角色,一種角色可以有多個用戶擔當。 用戶和角色是多對多關係,即:一個用戶可同時充當

xuchuruo 2020-07-05 03:22:38

阿里雲 MaxCompute 2021-1 月刊

1、【價格調整】MaxCompute 存儲服務單價調整MaxCompute 按量付費存儲單價由梯度定價統一下調整爲月固定單價,中小規模企業數據倉庫存儲成本最高降四成。價格調整內容2021/1/10日起,MaxCompute 數據存儲服務由階

晉恆 2021-03-22 19:11:15

彈性計算OOS審批流程自動化運維

阿里雲最佳實踐頻道:【點擊查看更多上雲最佳實踐】這裏有豐富的企業上雲最佳實踐,從典型場景入門,提供一系列項目實踐方案,降低企業上雲門檻的同時滿足您的需求! 場景描述 本文以ECS、RDS、SLB搭建一個小型的WEB系統爲例,介紹如何利用

最佳實踐小文 2020-09-22 09:58:59

【雲棲號案例 | 新零售】維他奶擁抱數字化轉型 重構員工賬戶與權限管理方式

雲棲號案例庫:【點擊查看更多上雲案例】不知道怎麼上雲?看雲棲號案例庫,瞭解不同行業不同發展階段的上雲方案,助力你上雲決策! 公司介紹 維他奶(公司官網地址:https://www.vitasoy.com)成立於1940年,在中國大陸、中國香

雲棲號案例庫 2020-09-16 09:46:57

SaaS 模式雲數據倉庫 MaxCompute 數據安全最佳實踐

本文作者 阿里雲智能 項目管理專家 王璀 什麼是 MaxCompute? MaxCompute 是一款雲原生、高效能的SaaS模式企業級數據倉庫服務,被廣泛用於構建現代化企業數據平臺,開展BI分析、數據化運營、畫像及推薦、智能預測等應用場景

雲棲號資訊小編 2020-08-07 11:58:54

Android M 的權限機制(轉)

內容簡介 在Android M版本發佈之前,Android系統中的權限模式一直採取較爲簡單粗暴的處理方式——即在安裝之時由用戶作出全部允許或者全不允許的二元選擇。這意味着如果用戶希望使用某款應用程序,則首先需要接受其中包含的全部權

android小菜比 2020-07-05 19:12:13

位運算實現權限管理及實現原理

在實際開發中,往往一個類對象擁有多種權限,每種權限有兩個狀態即有和無,正常情況下,有多少個權限,就需要多少個字段保存相應狀態,如果權限過多,那麼這種方式顯得極其笨重,最近學習了一種用一個int字段實現的權限管理的方式,方便快捷,實現原理簡

csdnbeyoung 2020-07-01 15:56:19

揭祕阿里雲Redis 6.0極速上雲:內核能力與雲原生管控

Redis 6.0更多精彩詳情Redis 6.0是Redis發展史上極爲重要的版本,包含多項重大功能更新和大幅度的性能提升。爲了讓用戶可以第一時間體驗到最新版Redis的各項功能,阿里雲緊隨其後發佈了最新版 Redis 6.0雲數據庫。在昨

skin778 2020-06-27 15:10:51

權限管理的一點思考

需求說明 不同的項目對於權限管理的需求也不同。以上海市人社管理系統爲例,權限管理主要管理的是不同單位與不同職級的工作人員所能夠操作的功能限制。可以通過組權限進行以單位爲基準的權限管理,少部分根據職級的再進行單獨管理(需求量比較小,不成規模

DeltaF 2020-06-26 05:22:39

MySQL 權限管理二

一、MySQL權限簡介  那麼Mysql的權限是如何實現的呢?這就要說到mysql的兩階段驗證,下面詳細介紹:第一階段:服務器首先會檢查你是否允許連接。因爲創建用戶的時候會加上主機限制,可以限制成本地、某個IP、某個IP段、以及任何地方等

呦呦切克闹_666 2020-06-25 11:39:09

基於RABC權限管理的後臺管理項目新權限的設計思想

說到權限很多人都會想到RBAC,ACL等等,這些方案都是十分成熟的權限管理方案,最早寫PHP用yii2框架的時候,就自帶了rbac權限管理,也對rbac比較熟悉,但今天想說的不僅僅侷限於路由權限。 RBAC權限管理 關於rbac權

xkey 2020-06-25 03:05:57

android M權限適配,簡單工具類

很簡單沒什麼說的, 因爲項目大了,不能輕易引入第三方庫,同時確實也沒必要爲了適配下權限就引入一個庫。 這裏寫了個處理權限的工具類(部分借鑑的,勿噴),不嫌棄的話拿去! 用法: 1.申請權限: PermissionH

_deadline 2020-06-24 17:35:17

Shiro 權限校驗(一)

前言 最近因爲工作需要,集中精力在研究第三方shiro鑑權框架的使用技巧,既然說到了shiro是用來做權限校驗功能的,那麼shiro的核心在哪呢,它由哪幾塊組成的,每一塊的作用是什麼?它與其它鑑權框架相比有什麼優勢? 帶着這些問題,我便對

修补匠·瓦力 2020-06-23 09:16:57

權限管理:shiro

  圖一: shiro整體架構功能 圖二: shiro架構API實現方式 @DependsOn(value="springUtils") @Configuration public class ShiroCoreConfig {

黑狗子 2020-06-22 22:47:26

06SpringBoot web 登錄攔截器

防止表單重複提交使用重定向方式 登錄後重定向 添加視圖映射當訪問/main.html路徑時展示dashboard.html頁面 通過攔截器做登錄檢查 沒有登錄的用戶就不能操作後臺 添加攔截器 註冊攔截器 addIntercept

Andy8921 2020-07-08 00:16:53