Java研学-RBAC权限控制(八)

本文主要是介绍Java研学-RBAC权限控制(八)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

九 登录登出

1 登录作用

  判断员工是否有权限访问，首先得知道现在操作的人是谁，所以必须先实现登录功能

2 登录流程

  ① 提供登录页面，可输入用户名与密码信息，并添加执行登录的按钮。（登录页面不能被拦截）
  ② 给按钮绑定点击事件（异步操作，POST请求）
  ③ 事件中发送登录请求，使用 AJAX 方式提交。（使用 AJAX 原因：用户体验更好，既可保留用户刚输入的用户名和密码，失败之后也不需要做请求转发共享错误信息，直接返回 JSON 数据效率更高。）
  ④ 后端接收参数后，查询数据库验证是否正确，若登录失败则返回错误信息给前端，若登录成功则把员工存到 session 中，方便下次获取。
  ⑤ 页面菜单栏显示登录员工的名字，可以从 session 获取获取。

3 代码实现

  ① 登录页面

<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><title>TJ管理平台-登录</title><link rel="stylesheet" href="/static/js/bootstrap/css/bootstrap.css"><link rel="stylesheet" href="/static/js/font-awesome/css/font-awesome.min.css"><link rel="stylesheet" href="/static/js/Ionicons/css/ionicons.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/AdminLTE.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/skins/_all-skins.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/fonts.googleapis.com.css"><script src="/static/js/jquery/jquery.min.js"></script><script src="/static/js/bootstrap/js/bootstrap.js"></script><script src="/static/js/adminlte/js/adminlte.min.js"></script><link rel="stylesheet" href="/static/js/plugins/sweetalert2/sweetalert2.min.css"><script src="/static/js/plugins/sweetalert2/sweetalert2.min.js"></script></head>
<body class="hold-transition login-page">
<div class="login-box"><div class="login-logo"><a href="http://www.tj.com"><b>play</b>TJ管理平台</a></div><div class="login-box-body"><p class="login-box-msg">请输入账号密码</p><form method="post" id="loginForm"><div class="form-group has-feedback"><input type="text" class="form-control" placeholder="请输入账号" name="username" value="admin"><span class="glyphicon glyphicon-envelope form-control-feedback"></span></div><div class="form-group has-feedback"><input type="password" class="form-control" placeholder="请输入密码" name="password" value="1"><span class="glyphicon glyphicon-lock form-control-feedback"></span></div><div class="row"><div class="col-xs-4"><button type="button" class="btn btn-primary btn-block btn-flat submitBtn">登录</button></div></div></form></div><script>$('.submitBtn').click(function () {$.post(/*访问页面*/'/login',$('#loginForm').serialize(),/*表单序列化*/function (data) {if(data.success){// 登录成功location.href='/employee/list'} else{// 登录失败Swal.fire({text: data.msg,icon:'error',});}})})</script>
</div>
</body>
</html>

  ② 登录Controller

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;// 定义session对象将用户存入session@RequestMapping("/login")@ResponseBodypublic JsonResult login(String username, String password, HttpSession session){try {// 登录成功 根据用户名密码进行查询 此处 employee 一定不为空Employee employee = employeeService.getByUsernameAndPassword(username,password);// session.setAttribute(UserContext.USER_IN_SESSION,employee);// 将当前用户存入线程UserContext.setCurrentUser(employee);// 获取当前用户的权限列表。List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());// 将用户权限列表存入session// session.setAttribute(UserContext.PERMISSION_IN_SESSION,permissionList);UserContext.setPermission(permissionList);return new JsonResult(true,"登录成功");} catch (Exception e){// 登录失败 打印失败信息e.printStackTrace();return new JsonResult(false,e.getMessage());}}@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate();session.removeAttribute("user_in_session");return "redirect:/static/login.html";}
}

  ③ IEmployeeService

public interface IEmployeeService {//略/*** 根据用户名密码进行登录* @param username* @param password* @return*/Employee getByUsernameAndPassword(String username, String password);
}

  ④ EmployeeServiceImpl

@Service
public class EmployeeServiceImpl implements IEmployeeService {@Autowiredprivate EmployeeMapper employeeMapper;// 略@Overridepublic Employee getByUsernameAndPassword(String username, String password) {// 基于性能优化填写的代码 防止传空if(!StringUtil.isNotEmpty(username) || !StringUtil.isNotEmpty(password)){throw new RuntimeException("账号密码有误！！！");}Employee employee = employeeMapper.getByUsernameAndPassword(username,password);if(employee == null){// throw 有 return 的功能throw new RuntimeException("账号密码有误！！！");}return employee;}
}

  ⑤ 判空工具

public class StringUtil {public static boolean isNotEmpty(String str){return str != null && !str.trim().equals("");}// 可在此处创建主方法对其进行测试
}

  ⑥ EmployeeMapper

@Repository
public interface EmployeeMapper {// 略Employee getByUsernameAndPassword(@Param("username") String username, @Param("password") String password);
}

  ⑦ EmployeeMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="cn.tj.mapper.EmployeeMapper" >
<!-- MyBatis 框架中用于定义如何从数据库结果集（ResultSet）映射到 Java 对象的标签--><resultMap id="BaseResultMap" type="cn.tj.domain.Employee" ><id column="id" property="id" /><!--column为数据库中的列，property是Java对象中的属性--><result column="username" property="username" /><result column="name" property="name" /><result column="password" property="password" /><result column="email" property="email" /><result column="age" property="age" /><result column="admin" property="admin" /><!--association 这个标签用于处理一对一或一对多的关联关系--><association columnPrefix="d_" property="dept" javaType="department"><result column="id" property="id" /><result column="name" property="name" /><result column="sn" property="sn" /></association></resultMap><select id="getByUsernameAndPassword" resultMap="BaseResultMap">select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_snfrom employee e left join department d on e.dept_id = d.idwhere username=#{username} and password=#{password}</select>
</mapper>

4 LoginController – 登出

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;// 略@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate(); 杀掉Session session.removeAttribute("user_in_session"); // 只移除session中对应的信息return "redirect:/static/login.html";}
}

5 登录拦截

  实现步骤
  ① 创建登录拦截器类，实现前置拦截方法。
  ② 判断 session 中是否有员工对象，若有则代表有登录，直接放行，若没有，则重定向到登录页面，不放行。
  ③ 在配置类中注册拦截器（注意需要排除某些资源，就是不需要登录都能访问的资源）。
  ④ 登录拦截器

@Component
public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取 Session 中的登录用户Employee employee =UserContext.getCurrentUser();// 判断该用户是否存在if(employee == null){// 没有登录，提回登录页面response.sendRedirect("/static/login.html");return false;}return true;}
}

  ⑤ 登录拦截器注册

@Configuration
public class MvcJavaConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 所有需要注册的拦截器都封装到了 InterceptorRegistry 中。registry.addInterceptor(loginInterceptor)       // 使用哪个拦截器(注册拦截器).addPathPatterns("/**")                 // 需要拦截的路径.excludePathPatterns("/static/**","/login");  // 需要排除的路径 login为登录的处理器方法}
}

6 权限拦截

  ① 拦截流程

  ② 权限拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {/*** Object handler 就是我们需要访问的目标方法* 之所以是 Object 类型是因为方法有两种* 情况一：访问静态资源       --> ResourceHttpRequestHandler* 情况二：访问控制器方法     --> HandlerMethod*/// System.out.println("访问地址:" + request.getRequestURI() + "--->" + handler.getClass());// 获取当前登录用户。// Employee currentUser = (Employee) request.getSession().getAttribute("user_in_session");Employee currentUser = UserContext.getCurrentUser();//取出当前用户// 判断是否为超级管理员。if(currentUser.isAdmin()){//若为超级管理员则直接放行。return true;}// 判断是否为对应的类型if(handler instanceof HandlerMethod){// 拦截请求，请求所对应的控制器方法。HandlerMethod method = (HandlerMethod) handler;// 判断当前访问方法是否需要权限控制（方法上是否有贴我们的自定义注解 @RequirePermission）RequirePermission rpAnnotation = method.getMethodAnnotation(RequirePermission.class);if(rpAnnotation == null){// 如果没有注解，说明是公共方法则直接放行。return true;}// 若有注解获取到注解的 expression 。//拦截器可以直接使用spring容器中的beanString expression = rpAnnotation.expression();// 通过用户名获取当前用户的权限列表。// 用户登录后权限一般不会变，不需要每进一个方法查询一次权限，查询一次即可（登录时获取并存入session）List<String> permissionList = UserContext.getPermission();// 判断当前拿到的 expression 在用户的权限列表中是否存在。if(!permissionList.contains(expression)){//permissionList中是否有expression// 根据请求的不同，那么我们要返回时就需要碰到两种情况if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求response.setContentType("application/json;charset=utf-8");response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"您还没有权限操作")));} else{// 页面请求，templates文件夹相当于web中的inf文件夹 ，跳转控制器方法// 若不存在则说明当前登录用户没有该方法的访问权限。拦截请求。并提到没有权限的页面。// 该页面在templates中，受保护不能直接从前端页面进行访问，需要通过控制器进行中转response.sendRedirect("/permission/nopermission");}// 拦截return false;}}return true;}
}

  ③ 注册权限拦截器

@Configuration
public class MvcJavaConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Autowiredprivate PermissionInterceptor permissionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 略// 权限拦截器registry.addInterceptor(permissionInterceptor)  // 使用哪个拦截器(注册拦截器).addPathPatterns("/**")                 // 需要拦截的路径.excludePathPatterns("/static/**","/login","favicon.ico");}
}

  ④ PermissionController 方法 – 跳转方法

	@RequestMapping("/nopermission")public String nopermission(){// 去到没有权限的 html 页面return "common/nopermission";}

  ⑤ LoginController中获取权限方法 – queryByEmployeeId

// 获取当前用户的权限列表。
List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());

  ⑥ service – queryByEmployeeId

// IPermissionService
List<String> queryByEmployeeId(Long id);
// PermissionServiceImpl
public List<String> queryByEmployeeId(Long employeeId) {return permissionMapper.queryByEmployeeId(employeeId);
}

  ⑦ mapper – queryByEmployeeId

// PermissionMapper
List<String> queryByEmployeeId(Long employeeId);
// PermissionMapper.xml
<select id="queryByEmployeeId" resultType="java.lang.String">select expression from permission where id in (select permission_id from role_permission where role_id in(select role_id from employee_role where employee_id=#{employeeId}))
</select>

7 Ajax请求没有权限时的拦截处理

  面对Ajax请求我们应返回一组Json数据，因此拦截器应有两种情况，根据不同的请求返回不同的数据（页面请求就返回页面，Ajax请求返回一组Json数据），此处页面需要走视图，Ajax不走视图（需要@response注解）

  PermissionInterceptor 拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 略// 判断当前拿到的 expression 在用户的权限列表中是否存在。if(!permissionList.contains(expression)){//permissionList中是否有expression// 根据请求的不同，那么我们要返回时就需要碰到两种情况if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求 需要设置响应头response.setContentType("application/json;charset=utf-8");// 向页面中写数据response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"您还没有权限操作")));} else{// 页面请求  templates文件夹相当于web中的inf文件夹// 若不存在则说明当前登录用户没有该方法的访问权限。拦截请求。并提到没有权限的页面。response.sendRedirect("/permission/nopermission");}return false;}}return true;}
}

8 抽取 UserContext 工具类

  登录拦截，权限拦截多处使用了session，因此将其抽取出来作为一个工具类，使用 RequestContextHolder 工具类，它是 Spring MVC 提供的工具类，提供了一个静态方法，可以在代码任意的地方获取 request 对象，response 对象，sessison 对象，不需要每次自己把对象传进去（存入线程中，同一条线程数据共享），但是这个工具类获取 session 的代码得写在好几个地方，所以我们可以直接再封装为一个用于获取 session 的方法，提供给其他方法调用。
  ① UserContext

public class UserContext {public static final String USER_IN_SESSION ="user_in_session";public static final String PERMISSION_IN_SESSION ="permission_in_session";//使用RequestContextHolder工具类(springMVC提供存在线程中)可在代码任意位置获取//request对象，response对象，session对象public static HttpSession getSession(){// 此处需要的是他的子类ServletRequestAttributes attrs = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();return attrs.getRequest().getSession();}//设置当前登录用户public static void setCurrentUser(Employee employee){getSession().setAttribute(USER_IN_SESSION,employee);}//设置获取登录用户public static Employee getCurrentUser(){return (Employee) getSession().getAttribute(USER_IN_SESSION);}//设置权限集合public static void setPermission(List<String> permissionList){getSession().setAttribute(PERMISSION_IN_SESSION,permissionList);}//获取权限集合public static List<String> getPermission(){return (List<String>) getSession().getAttribute(PERMISSION_IN_SESSION);}
}

  ② RequestContextHolder

public static HttpSession getSession() {ServletRequestAttributes attrs = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();return attrs.getRequest().getSession();
}

9 统一异常处理

  对于想要提示给用户的异常信息与不想用户看到的异常信息（系统级异常，显示联系管理员等信息），需要做两种方式的处理。
  ① 自定义异常处理类

// 自定义异常处理类
public class BusinessException extends RuntimeException {// 调用父类public BusinessException(String msg){super(msg);}
}

// 调用public Employee getByUsernameAndPassword(String username, String password) {if(!StringUtil.isNotEmpty(username) || !StringUtil.isNotEmpty(password)){throw new BusinessException("账号密码有误！！！");}Employee employee = employeeMapper.getByUsernameAndPassword(username,password);if(employee == null){throw new BusinessException("账号密码有误！！！");}return employee;
}

  ② 异常捕获类 – 针对不同的异常做不同的处理

// ControllerAdvice 可直接跳转到templates目录下
// ConrolletAdvice 和 Controller 的异同点// 相同点// 有四种返回值// void: 处理方法都会定义一个 HttpServlerResponse 形参。自定义响应内容（想响应什么就响应什么）// String：一般来说至少有一个 Model 形参，响应的 HTML 格式内容// ModelAndView 一般响应 HTML 格式内容，（也可以响应 JSON）// 自定义响应类型 ： 响应 JSON 格式数据，@ResponseBody// 不同点// Controlelr 上面贴的是 @RequestMapping 而我们的 ConrolletAdvice 贴的是  @ExceptionHandler//  @ExceptionHandler（异常类型） 根据不同的异常类型做不同的处理。// Controller 是 在请求的过程中 访问控制器对象-->业务对象-->Mapper对象。在整个过程中，若出现了异常。// 则统一交给我们的 ExceptionControllerAdvice 处理。（需要注意一定不能try catch）
@ControllerAdvice
public class ExceptionControllerAdvice {// 自定义异常(想让用户看到的)@ExceptionHandler(BusinessException.class)public String handlerException(BusinessException e, Model model, HandlerMethod method, HttpServletResponse response){// e 为异常，model 为向前端展示的数据，method为通过目标方法有无@ResponseBody注解判断应返回页面还是json，response 为返回响应的json// 异常也分为页面异常和 ajax 请求的异常。if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求（有ResponseBody注解）response.setContentType("application/json;charset=utf-8");try {response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,e.getMessage())));} catch (IOException ex) {ex.printStackTrace();}// 走的是ajax请求，不需要返回任何界面return null;} else{// 页面请求model.addAttribute("errorMsg",e.getMessage());return "common/error";}}// 系统异常(不想让用户看到的)@ExceptionHandler(Exception.class)public String handlerException(Exception e, Model model, HandlerMethod method, HttpServletResponse response){// 异常也分为页面异常和 ajax 请求的异常。if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求response.setContentType("application/json;charset=utf-8");try {//  将系统异常替换成其他文本response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"系统繁忙，请联系管理员")));} catch (IOException ex) {ex.printStackTrace();}return null;} else{// 页面请求model.addAttribute("errorMsg","系统繁忙，请联系管理员");return "common/error";}}
}

  ③ LoginController – 不需再try

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;@RequestMapping("/login")@ResponseBodypublic JsonResult login(String username, String password, HttpSession session){// 登录成功Employee employee = employeeService.getByUsernameAndPassword(username,password);UserContext.setCurrentUser(employee);// 获取当前用户的权限列表。List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());UserContext.setPermission(permissionList);return new JsonResult(true,"登录成功");}@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate();session.removeAttribute("user_in_session");return "redirect:/static/login.html";}
}

这篇关于Java研学-RBAC权限控制(八)的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---