Java研学-RBAC权限控制(八)

2024-06-24 12:36
文章标签 java 控制 权限 研学 rbac

本文主要是介绍Java研学-RBAC权限控制(八),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

九 登录登出

1 登录作用

  判断员工是否有权限访问,首先得知道现在操作的人是谁,所以必须先实现登录功能

2 登录流程

  ① 提供登录页面,可输入用户名与密码信息,并添加执行登录的按钮。(登录页面不能被拦截)
  ② 给按钮绑定点击事件(异步操作,POST请求)
  ③ 事件中发送登录请求,使用 AJAX 方式提交。(使用 AJAX 原因:用户体验更好,既可保留用户刚输入的用户名和密码,失败之后也不需要做请求转发共享错误信息,直接返回 JSON 数据效率更高。)
  ④ 后端接收参数后,查询数据库验证是否正确,若登录失败则返回错误信息给前端,若登录成功则把员工存到 session 中,方便下次获取。
  ⑤ 页面菜单栏显示登录员工的名字,可以从 session 获取获取。

3 代码实现

  ① 登录页面

<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><title>TJ管理平台-登录</title><link rel="stylesheet" href="/static/js/bootstrap/css/bootstrap.css"><link rel="stylesheet" href="/static/js/font-awesome/css/font-awesome.min.css"><link rel="stylesheet" href="/static/js/Ionicons/css/ionicons.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/AdminLTE.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/skins/_all-skins.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/fonts.googleapis.com.css"><script src="/static/js/jquery/jquery.min.js"></script><script src="/static/js/bootstrap/js/bootstrap.js"></script><script src="/static/js/adminlte/js/adminlte.min.js"></script><link rel="stylesheet" href="/static/js/plugins/sweetalert2/sweetalert2.min.css"><script src="/static/js/plugins/sweetalert2/sweetalert2.min.js"></script></head>
<body class="hold-transition login-page">
<div class="login-box"><div class="login-logo"><a href="http://www.tj.com"><b>play</b>TJ管理平台</a></div><div class="login-box-body"><p class="login-box-msg">请输入账号密码</p><form method="post" id="loginForm"><div class="form-group has-feedback"><input type="text" class="form-control" placeholder="请输入账号" name="username" value="admin"><span class="glyphicon glyphicon-envelope form-control-feedback"></span></div><div class="form-group has-feedback"><input type="password" class="form-control" placeholder="请输入密码" name="password" value="1"><span class="glyphicon glyphicon-lock form-control-feedback"></span></div><div class="row"><div class="col-xs-4"><button type="button" class="btn btn-primary btn-block btn-flat submitBtn">登录</button></div></div></form></div><script>$('.submitBtn').click(function () {$.post(/*访问页面*/'/login',$('#loginForm').serialize(),/*表单序列化*/function (data) {if(data.success){// 登录成功location.href='/employee/list'} else{// 登录失败Swal.fire({text: data.msg,icon:'error',});}})})</script>
</div>
</body>
</html>

  ② 登录Controller

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;// 定义session对象将用户存入session@RequestMapping("/login")@ResponseBodypublic JsonResult login(String username, String password, HttpSession session){try {// 登录成功 根据用户名密码进行查询 此处 employee 一定不为空Employee employee = employeeService.getByUsernameAndPassword(username,password);// session.setAttribute(UserContext.USER_IN_SESSION,employee);// 将当前用户存入线程UserContext.setCurrentUser(employee);// 获取当前用户的权限列表。List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());// 将用户权限列表存入session// session.setAttribute(UserContext.PERMISSION_IN_SESSION,permissionList);UserContext.setPermission(permissionList);return new JsonResult(true,"登录成功");} catch (Exception e){// 登录失败 打印失败信息e.printStackTrace();return new JsonResult(false,e.getMessage());}}@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate();session.removeAttribute("user_in_session");return "redirect:/static/login.html";}
}

  ③ IEmployeeService

public interface IEmployeeService {//略/*** 根据用户名密码进行登录* @param username* @param password* @return*/Employee getByUsernameAndPassword(String username, String password);
}

  ④ EmployeeServiceImpl

@Service
public class EmployeeServiceImpl implements IEmployeeService {@Autowiredprivate EmployeeMapper employeeMapper;// 略@Overridepublic Employee getByUsernameAndPassword(String username, String password) {// 基于性能优化填写的代码 防止传空if(!StringUtil.isNotEmpty(username) || !StringUtil.isNotEmpty(password)){throw new RuntimeException("账号密码有误!!!");}Employee employee = employeeMapper.getByUsernameAndPassword(username,password);if(employee == null){// throw 有 return 的功能throw new RuntimeException("账号密码有误!!!");}return employee;}
}

  ⑤ 判空工具

public class StringUtil {public static boolean isNotEmpty(String str){return str != null && !str.trim().equals("");}// 可在此处创建主方法对其进行测试
}

  ⑥ EmployeeMapper

@Repository
public interface EmployeeMapper {// 略Employee getByUsernameAndPassword(@Param("username") String username, @Param("password") String password);
}

  ⑦ EmployeeMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="cn.tj.mapper.EmployeeMapper" >
<!-- MyBatis 框架中用于定义如何从数据库结果集(ResultSet)映射到 Java 对象的标签--><resultMap id="BaseResultMap" type="cn.tj.domain.Employee" ><id column="id" property="id" /><!--column为数据库中的列,property是Java对象中的属性--><result column="username" property="username" /><result column="name" property="name" /><result column="password" property="password" /><result column="email" property="email" /><result column="age" property="age" /><result column="admin" property="admin" /><!--association 这个标签用于处理一对一或一对多的关联关系--><association columnPrefix="d_" property="dept" javaType="department"><result column="id" property="id" /><result column="name" property="name" /><result column="sn" property="sn" /></association></resultMap><select id="getByUsernameAndPassword" resultMap="BaseResultMap">select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_snfrom employee e left join department d on e.dept_id = d.idwhere username=#{username} and password=#{password}</select>
</mapper>

4 LoginController – 登出

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;// 略@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate(); 杀掉Session session.removeAttribute("user_in_session"); // 只移除session中对应的信息return "redirect:/static/login.html";}
}

5 登录拦截

  实现步骤
  ① 创建登录拦截器类,实现前置拦截方法。
  ② 判断 session 中是否有员工对象,若有则代表有登录,直接放行,若没有,则重定向到登录页面,不放行。
  ③ 在配置类中注册拦截器(注意需要排除某些资源,就是不需要登录都能访问的资源)。
  ④ 登录拦截器

@Component
public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取 Session 中的登录用户Employee employee =UserContext.getCurrentUser();// 判断该用户是否存在if(employee == null){// 没有登录,提回登录页面response.sendRedirect("/static/login.html");return false;}return true;}
}

  ⑤ 登录拦截器注册

@Configuration
public class MvcJavaConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 所有需要注册的拦截器都封装到了 InterceptorRegistry 中。registry.addInterceptor(loginInterceptor)       // 使用哪个拦截器(注册拦截器).addPathPatterns("/**")                 // 需要拦截的路径.excludePathPatterns("/static/**","/login");  // 需要排除的路径 login为登录的处理器方法}
}

6 权限拦截

  ① 拦截流程
拦截流程

  ② 权限拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {/*** Object handler 就是我们需要访问的目标方法* 之所以是 Object 类型是因为方法有两种* 情况一:访问静态资源       --> ResourceHttpRequestHandler* 情况二:访问控制器方法     --> HandlerMethod*/// System.out.println("访问地址:" + request.getRequestURI() + "--->" + handler.getClass());// 获取当前登录用户。// Employee currentUser = (Employee) request.getSession().getAttribute("user_in_session");Employee currentUser = UserContext.getCurrentUser();//取出当前用户// 判断是否为超级管理员。if(currentUser.isAdmin()){//若为超级管理员则直接放行。return true;}// 判断是否为对应的类型if(handler instanceof HandlerMethod){// 拦截请求,请求所对应的控制器方法。HandlerMethod method = (HandlerMethod) handler;// 判断当前访问方法是否需要权限控制(方法上是否有贴我们的自定义注解 @RequirePermission)RequirePermission rpAnnotation = method.getMethodAnnotation(RequirePermission.class);if(rpAnnotation == null){// 如果没有注解,说明是公共方法则直接放行。return true;}// 若有注解获取到注解的 expression 。//拦截器可以直接使用spring容器中的beanString expression = rpAnnotation.expression();// 通过用户名获取当前用户的权限列表。// 用户登录后权限一般不会变,不需要每进一个方法查询一次权限,查询一次即可(登录时获取并存入session)List<String> permissionList = UserContext.getPermission();// 判断当前拿到的 expression 在用户的权限列表中是否存在。if(!permissionList.contains(expression)){//permissionList中是否有expression// 根据请求的不同,那么我们要返回时就需要碰到两种情况if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求response.setContentType("application/json;charset=utf-8");response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"您还没有权限操作")));} else{// 页面请求,templates文件夹相当于web中的inf文件夹 ,跳转控制器方法// 若不存在则说明当前登录用户没有该方法的访问权限。拦截请求。并提到没有权限的页面。// 该页面在templates中,受保护不能直接从前端页面进行访问,需要通过控制器进行中转response.sendRedirect("/permission/nopermission");}// 拦截return false;}}return true;}
}

  ③ 注册权限拦截器

@Configuration
public class MvcJavaConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Autowiredprivate PermissionInterceptor permissionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 略// 权限拦截器registry.addInterceptor(permissionInterceptor)  // 使用哪个拦截器(注册拦截器).addPathPatterns("/**")                 // 需要拦截的路径.excludePathPatterns("/static/**","/login","favicon.ico");}
}

  ④ PermissionController 方法 – 跳转方法

	@RequestMapping("/nopermission")public String nopermission(){// 去到没有权限的 html 页面return "common/nopermission";}

  ⑤ LoginController中获取权限方法 – queryByEmployeeId

// 获取当前用户的权限列表。
List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());

  ⑥ service – queryByEmployeeId

// IPermissionService
List<String> queryByEmployeeId(Long id);
// PermissionServiceImpl
public List<String> queryByEmployeeId(Long employeeId) {return permissionMapper.queryByEmployeeId(employeeId);
}

  ⑦ mapper – queryByEmployeeId

// PermissionMapper
List<String> queryByEmployeeId(Long employeeId);
// PermissionMapper.xml
<select id="queryByEmployeeId" resultType="java.lang.String">select expression from permission where id in (select permission_id from role_permission where role_id in(select role_id from employee_role where employee_id=#{employeeId}))
</select>

7 Ajax请求没有权限时的拦截处理

  面对Ajax请求我们应返回一组Json数据,因此拦截器应有两种情况,根据不同的请求返回不同的数据(页面请求就返回页面,Ajax请求返回一组Json数据),此处页面需要走视图,Ajax不走视图(需要@response注解)
拦截处理
  PermissionInterceptor 拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 略// 判断当前拿到的 expression 在用户的权限列表中是否存在。if(!permissionList.contains(expression)){//permissionList中是否有expression// 根据请求的不同,那么我们要返回时就需要碰到两种情况if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求 需要设置响应头response.setContentType("application/json;charset=utf-8");// 向页面中写数据response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"您还没有权限操作")));} else{// 页面请求  templates文件夹相当于web中的inf文件夹// 若不存在则说明当前登录用户没有该方法的访问权限。拦截请求。并提到没有权限的页面。response.sendRedirect("/permission/nopermission");}return false;}}return true;}
}

8 抽取 UserContext 工具类

  登录拦截,权限拦截多处使用了session,因此将其抽取出来作为一个工具类,使用 RequestContextHolder 工具类,它是 Spring MVC 提供的工具类,提供了一个静态方法,可以在代码任意的地方获取 request 对象,response 对象,sessison 对象,不需要每次自己把对象传进去(存入线程中,同一条线程数据共享),但是这个工具类获取 session 的代码得写在好几个地方,所以我们可以直接再封装为一个用于获取 session 的方法,提供给其他方法调用。
  ① UserContext

public class UserContext {public static final String USER_IN_SESSION ="user_in_session";public static final String PERMISSION_IN_SESSION ="permission_in_session";//使用RequestContextHolder工具类(springMVC提供存在线程中)可在代码任意位置获取//request对象,response对象,session对象public static HttpSession getSession(){// 此处需要的是他的子类ServletRequestAttributes attrs = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();return attrs.getRequest().getSession();}//设置当前登录用户public static void setCurrentUser(Employee employee){getSession().setAttribute(USER_IN_SESSION,employee);}//设置获取登录用户public static Employee getCurrentUser(){return (Employee) getSession().getAttribute(USER_IN_SESSION);}//设置权限集合public static void setPermission(List<String> permissionList){getSession().setAttribute(PERMISSION_IN_SESSION,permissionList);}//获取权限集合public static List<String> getPermission(){return (List<String>) getSession().getAttribute(PERMISSION_IN_SESSION);}
}

  ② RequestContextHolder

public static HttpSession getSession() {ServletRequestAttributes attrs = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();return attrs.getRequest().getSession();
}

9 统一异常处理

  对于想要提示给用户的异常信息与不想用户看到的异常信息(系统级异常,显示联系管理员等信息),需要做两种方式的处理。
  ① 自定义异常处理类

// 自定义异常处理类
public class BusinessException extends RuntimeException {// 调用父类public BusinessException(String msg){super(msg);}
}
// 调用public Employee getByUsernameAndPassword(String username, String password) {if(!StringUtil.isNotEmpty(username) || !StringUtil.isNotEmpty(password)){throw new BusinessException("账号密码有误!!!");}Employee employee = employeeMapper.getByUsernameAndPassword(username,password);if(employee == null){throw new BusinessException("账号密码有误!!!");}return employee;
}

  ② 异常捕获类 – 针对不同的异常做不同的处理

// ControllerAdvice 可直接跳转到templates目录下
// ConrolletAdvice 和 Controller 的异同点// 相同点// 有四种返回值// void: 处理方法都会定义一个 HttpServlerResponse 形参。自定义响应内容(想响应什么就响应什么)// String:一般来说至少有一个 Model 形参,响应的 HTML 格式内容// ModelAndView 一般响应 HTML 格式内容,(也可以响应 JSON)// 自定义响应类型 : 响应 JSON 格式数据,@ResponseBody// 不同点// Controlelr 上面贴的是 @RequestMapping 而我们的 ConrolletAdvice 贴的是  @ExceptionHandler//  @ExceptionHandler(异常类型) 根据不同的异常类型做不同的处理。// Controller 是 在请求的过程中 访问控制器对象-->业务对象-->Mapper对象。在整个过程中,若出现了异常。// 则统一交给我们的 ExceptionControllerAdvice 处理。(需要注意一定不能try catch)
@ControllerAdvice
public class ExceptionControllerAdvice {// 自定义异常(想让用户看到的)@ExceptionHandler(BusinessException.class)public String handlerException(BusinessException e, Model model, HandlerMethod method, HttpServletResponse response){// e 为异常,model 为向前端展示的数据,method为通过目标方法有无@ResponseBody注解判断应返回页面还是json,response 为返回响应的json// 异常也分为页面异常和 ajax 请求的异常。if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求(有ResponseBody注解)response.setContentType("application/json;charset=utf-8");try {response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,e.getMessage())));} catch (IOException ex) {ex.printStackTrace();}// 走的是ajax请求,不需要返回任何界面return null;} else{// 页面请求model.addAttribute("errorMsg",e.getMessage());return "common/error";}}// 系统异常(不想让用户看到的)@ExceptionHandler(Exception.class)public String handlerException(Exception e, Model model, HandlerMethod method, HttpServletResponse response){// 异常也分为页面异常和 ajax 请求的异常。if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求response.setContentType("application/json;charset=utf-8");try {//  将系统异常替换成其他文本response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"系统繁忙,请联系管理员")));} catch (IOException ex) {ex.printStackTrace();}return null;} else{// 页面请求model.addAttribute("errorMsg","系统繁忙,请联系管理员");return "common/error";}}
}

  ③ LoginController – 不需再try

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;@RequestMapping("/login")@ResponseBodypublic JsonResult login(String username, String password, HttpSession session){// 登录成功Employee employee = employeeService.getByUsernameAndPassword(username,password);UserContext.setCurrentUser(employee);// 获取当前用户的权限列表。List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());UserContext.setPermission(permissionList);return new JsonResult(true,"登录成功");}@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate();session.removeAttribute("user_in_session");return "redirect:/static/login.html";}
}

这篇关于Java研学-RBAC权限控制(八)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1090169

相关文章

Java编译生成多个.class文件的原理和作用

《Java编译生成多个.class文件的原理和作用》作为一名经验丰富的开发者,在Java项目中执行编译后,可能会发现一个.java源文件有时会产生多个.class文件,从技术实现层面详细剖析这一现象... 目录一、内部类机制与.class文件生成成员内部类(常规内部类)局部内部类(方法内部类)匿名内部类二、

SpringBoot实现数据库读写分离的3种方法小结

《SpringBoot实现数据库读写分离的3种方法小结》为了提高系统的读写性能和可用性,读写分离是一种经典的数据库架构模式,在SpringBoot应用中,有多种方式可以实现数据库读写分离,本文将介绍三... 目录一、数据库读写分离概述二、方案一:基于AbstractRoutingDataSource实现动态

Springboot @Autowired和@Resource的区别解析

《Springboot@Autowired和@Resource的区别解析》@Resource是JDK提供的注解,只是Spring在实现上提供了这个注解的功能支持,本文给大家介绍Springboot@... 目录【一】定义【1】@Autowired【2】@Resource【二】区别【1】包含的属性不同【2】@

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La

Java枚举类实现Key-Value映射的多种实现方式

《Java枚举类实现Key-Value映射的多种实现方式》在Java开发中,枚举(Enum)是一种特殊的类,本文将详细介绍Java枚举类实现key-value映射的多种方式,有需要的小伙伴可以根据需要... 目录前言一、基础实现方式1.1 为枚举添加属性和构造方法二、http://www.cppcns.co

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J

Java中的String.valueOf()和toString()方法区别小结

《Java中的String.valueOf()和toString()方法区别小结》字符串操作是开发者日常编程任务中不可或缺的一部分,转换为字符串是一种常见需求,其中最常见的就是String.value... 目录String.valueOf()方法方法定义方法实现使用示例使用场景toString()方法方法

Java中List的contains()方法的使用小结

《Java中List的contains()方法的使用小结》List的contains()方法用于检查列表中是否包含指定的元素,借助equals()方法进行判断,下面就来介绍Java中List的c... 目录详细展开1. 方法签名2. 工作原理3. 使用示例4. 注意事项总结结论:List 的 contain

Java实现文件图片的预览和下载功能

《Java实现文件图片的预览和下载功能》这篇文章主要为大家详细介绍了如何使用Java实现文件图片的预览和下载功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... Java实现文件(图片)的预览和下载 @ApiOperation("访问文件") @GetMapping("

用js控制视频播放进度基本示例代码

《用js控制视频播放进度基本示例代码》写前端的时候,很多的时候是需要支持要网页视频播放的功能,下面这篇文章主要给大家介绍了关于用js控制视频播放进度的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言html部分:JavaScript部分:注意:总结前言在javascript中控制视频播放