springboot基於過濾器 實現用戶權限控制

原創 心如花木,向阳而生 2020-06-26 02:08

springboot 的過濾器實現主要有兩個類

1.過濾器註冊類

package com.newland.common.autoconfigure;


import com.newland.common.filter.SessionFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.DispatcherType;


/**
 * 登錄配置加載
 * @author 
 *
 */
@Configuration
public class SessionAutoConfiguration {
	
	@Bean
    public FilterRegistrationBean sessionFilter() {
		//新建過濾器註冊類
        FilterRegistrationBean registration = new FilterRegistrationBean();
        // 添加我們寫好的過濾器
        registration.setFilter( new SessionFilter());
        // 設置過濾器的URL模式
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        //匹配路徑
        //List<String> urlPatterns = new ArrayList<>();
        //urlPatterns.add("/*");
        //registration.setUrlPatterns(urlPatterns);
        registration.addUrlPatterns("/web/*");
        //不過濾的路徑,俗稱白名單
        registration.addInitParameter("exclusions","/web/login,/ecommerce/register");

        //設置過濾器順序
        registration.setOrder(1);
        return registration;
    }
    
}

2.上面就是個一過濾器註冊類,下面這個類纔是過濾器的實現類,註冊SessionFilter 這個過濾器

package com.newland.common.filter;

import com.newland.ecommerce.model.entity.SysUserDO;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.util.*;

@WebFilter(filterName = "sessionFilter")
public class SessionFilter implements Filter{

	//標示符:表示當前用戶未登錄(可根據自己項目需要改爲json樣式)
    String NO_LOGIN = "您還未登錄";
    public static final String PARAM_NAME_EXCLUSIONS = "exclusions";
    //不需要登錄就可以訪問的路徑(比如:註冊登錄等)
    private Set<String> excludesPattern;
   
    
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        //這裏是註冊類中添加的白名單,轉爲Set集合
    	String param = filterConfig.getInitParameter(PARAM_NAME_EXCLUSIONS);
        if (param != null && param.trim().length() != 0) {
            this.excludesPattern = new HashSet(Arrays.asList(param.split("\\s*,\\s*")));
        }

    }
    
	@SuppressWarnings("unlikely-arg-type")
	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpSession session = request.getSession(false);
        String uri = request.getRequestURI();
        //下面這行代碼是業務需求,獲取請求參數
        String supplierCode = request.getParameter("supplierCode");
        //判斷是否需要過濾,白名單中的路徑不需要過濾,可以自由發揮
        boolean needFilter = isNeedFilter(uri);


        if (!needFilter) { //不需要過濾直接傳給下一個過濾器
            filterChain.doFilter(servletRequest, servletResponse);
        } else { //需要過濾器
            // session中包含user對象,則是登錄狀態
          if(session!=null&&session.getAttribute("sysUser") != null){
        //這裏獲取用戶的權限,這個可以參考我的springboot整合shiro的數據庫表設計
        	  List<Map<String,String>> userPermission = (List<Map<String, String>>) session.getAttribute("userPermission");
        	  SysUserDO sysUser =  (SysUserDO) session.getAttribute("sysUser");
        	 //檢查當前用戶是否有權限
        	  if(userPermission != null && userPermission.size() != 0) {
	        	  for(Map<String,String> up : userPermission) {
	        		if(uri.startsWith(up.get("resourceUrl"))) {
	
	        			if(3 == sysUser.getType()) {
	        				if(supplierCode != null) {
	            			  if(!supplierCode.equals(sysUser.getOwnedSupplierCode())) {	
	            				
	            				 response.sendRedirect(request.getContextPath()+"/web/index");	  
	            				 return; 
	            			  }
	            			}	
	        			}
	        			
	        			filterChain.doFilter(servletRequest, servletResponse);
	        			return;
	        			
	        			
	        		} 
	        		  
	        	  }
        	  }
                   //重定向
        	  response.sendRedirect(request.getContextPath()+"/unPermission");
             
            }else{
                String requestType = request.getHeader("X-Requested-With");
                //判斷是否是ajax請求
                if(requestType!=null && "XMLHttpRequest".equals(requestType)){
                    response.getWriter().write(this.NO_LOGIN);
                }else{
                    //重定向到登錄頁(需要在static文件夾下建立此html文件)
                    response.sendRedirect(request.getContextPath()+"/login");
                }
                return;
            }
        }
	}
	/**
	 * 是否需要過濾
	 * @param uri
	 * @return
	 */
	 public boolean isNeedFilter(String uri) {

	        for (String includeUrl : excludesPattern) {
	            
	        	if(includeUrl.contains("*")) {
	        		if(uri.startsWith(includeUrl.substring(0, includeUrl.length() - 1))) {
	        			
	        			return false;
	        		}
	        		
	        	}else {
	        		
	        		if(includeUrl.equals(uri)) {
		                return false;
		            }
	        		
	        	}
	        	
	        }

	      return true;
	    }
	
	 
	

	    @Override
	    public void destroy() {

	    }
}

3.過濾器依賴於servlet容器。在實現上基於函數回調,可以對幾乎所有請求進行過濾,但是缺點是一個過濾器實例只能在容器初始化時調用一次。使用過濾器的目的是用來做一些過濾操作,獲取我們想要獲取的數據等,過濾器通過我們設定好的順序,依次執行,最後執行請求的接口。
 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring優雅使用log4j2日誌

1-前言 Spring框架本身提供了對日誌的集成,對logback的支持非常好,但是對log4j和log4j2的支持就沒那麼好。 在同步打印日誌的場景下logback擁有最高的日誌吞吐量《Logback Throughput Benchma

原創 2024-05-22 23:12:10

爲什麼不推薦在Spring Boot中使用@Value加載配置

@Value註解相信很多Spring Boot的開發者都已經有接觸了,通過使用該註解,我們可以快速的把配置信息加載到Spring的Bean中。 比如下面這樣,就可以輕鬆的把配置文件中key爲com.didispace.title配置信息加載

原創 2024-05-21 21:46:20

hadoop-2單節點和hive安裝

1、下載hadoop-x.y.x.tar.gz 2、解壓:tar -zxvf hadoop-2.y.x.tar.gz 3、配置環境變量:$JAVA_HOME、$HADOOP_HOME、$PATH 4、修改配置:$HADOOP_HOME/et

原創 2024-05-24 23:51:33

對話阿里云云原生產品負責人李國強:推進可觀測產品與OpenTelemetry開源生態全面融合

5 月 22 日,在最新一期的飛天發佈時刻上,阿里雲宣佈多款可觀測產品全面升級,其中一項是應用實時監控服務 ARMS 在業內率先推進了與 OpenTelemetry 開源生態的全面融合,極大豐富了可觀測的數據類型及規模,大幅增強了 ARMS

原創 2024-05-24 21:13:50

複雜SQL治理實踐

一、前言 軟件在持續的開發和維護過程中,會不斷添加新功能和修復舊的缺陷,這往往伴隨着代碼的快速增長和複雜性的提升。若代碼庫沒有得到良好的管理和重構,就可能積累大量的技術債務,包括不一致的設計、冗餘代碼、過時的庫和框架以及不再使用的功能。

京東雲開發者 2024-05-24 11:56:56

昔日輝煌不再,PHP老矣,尚能飯否?

導語 | 近期 TIOBE 最新指數顯示,PHP 的流行度降至了歷史最低,排在第 17 名,同時,在年度 Stack Overflow 開發者調查報告中,PHP 在開發者中的受歡迎程度已經從之前的約 30% 萎縮至現在的 18%。“P

原創 2024-05-23 23:48:42

Spring項目中使用NIO並行調用http接口指南

1-背景 後臺BFF層服務爲了SEO,涉及大量對底層數據的聚合,如果按照過程化編程,串行執行請求數據再聚合會造成很高的延遲,因此我們往往大量使用多線程技術並行化多個查詢,來減少單個請求的響應時間。 多線程一定程度上也能達成通過並行化提升

原創 2024-05-23 11:10:25

Java實現抓取在線視頻並提取視頻語音爲文本

一、 背景 最近在做大模型相關的項目,其中有個模塊需要提取在線視頻語音爲文本並輸出給用戶。作爲一個純後端Jave工程師,搞這個確實是初次嘗試。 二、 調研 基於上述功能模塊,主要有三大任務:1、 提取網頁中的視頻 2、 視頻轉語音 3、 語

原創 2024-05-22 11:56:46

線程池那些坑爹的參數-核心線程數&最大線程數&工作隊列

1-前言 本文根據實際遇到的線程池使用導致的性能問題,從代碼層面解析 線程池 核心線程數、最大線程數、工作隊列三個參數配置不佳容易產生的問題,以及對這些問題的建議 對線程池的更多解析,這篇文章講得已經比較詳細了,建議大家仔細研讀:《阿里規

原創 2024-05-21 23:11:06

IO密集型場景CompletableFuture使用的陷阱

1-概述 1.1 背景 企知道後臺服務存在大量的查詢可以併發,大量用到了java8的CompletableFuture特性,但是在性能測試中,遇到了併發的瓶頸。 經過分析,發現是由於CompletableFuture默認線程池以及公共線

原創 2024-05-21 23:11:05

【開啓報名】開源之夏2024精彩繼續!Apache Linkis項目課題正式發佈

開源之夏是什麼 “開源之夏(OSPP)” 是中國科學院軟件研究所 “開源軟件供應鏈點亮計劃” 指導下的系列暑期活動,旨在鼓勵在校學生積極參與開源軟件的開發維護,培養和發掘更多優秀的開發者,促進優秀開源軟件社區的蓬勃發展,助力開

微衆開源 2024-05-21 21:38:53

高併發系統-使用自定義日誌埋點快速排查問題

背景 在高併發的系統中,通常不會打印除參數校驗失敗或捕獲異常之外的日誌,防止對接口的性能產生影響。 那對於請求不符合預期的情況,我們如何快速找到是哪塊邏輯影響的至關重要。 Pfinder提供的鏈路監控,更多的是性能層面的監控,無法滿足

原創 2024-05-21 11:56:04

代理服務器調試技巧:優化Kotlin網絡爬蟲的數據抓取過程

在網絡爬蟲的開發過程中,經常會遇到需要使用代理服務器的情況。代理服務器不僅可以幫助隱藏真實IP地址,還可以繞過網站的訪問限制,提高數據抓取的成功率。然而,在實際應用中,使用代理服務器也會遇到一些問題,如連接超時、IP被封禁等。因此,本文將

原創 2024-05-21 00:07:04

探討篇(一):服務粒度的藝術 - 簡化架構與避免服務氾濫

一、背景 上週小組有個需求上線牽扯9個應用(小組目前維護了26個服務,由於團隊系統業務屬性特徵基於高可用、高性能原則拆分,有些是合理的,有些不是很合理的),同時上週OpsReview的一個微服務濫用典範案例(Promise服務A調用服務B,

原創 2024-05-20 23:55:39

Java常用的JSON序列化與反序列化工具實踐

JSON簡介: JSON(Java Script Object Notation)是一種輕量級的數據交換格式,通常用於在不同系統之間傳輸數據。它基於 JavaScript 對象語法,但已成爲一種獨立於語言的格式。JSON 數據以鍵值對的形式

原創 2024-05-20 23:55:38