Java研学-RBAC权限控制(八)

2024-06-24 12:36
文章标签 java 控制 权限 研学 rbac

本文主要是介绍Java研学-RBAC权限控制(八),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

九 登录登出

1 登录作用

  判断员工是否有权限访问,首先得知道现在操作的人是谁,所以必须先实现登录功能

2 登录流程

  ① 提供登录页面,可输入用户名与密码信息,并添加执行登录的按钮。(登录页面不能被拦截)
  ② 给按钮绑定点击事件(异步操作,POST请求)
  ③ 事件中发送登录请求,使用 AJAX 方式提交。(使用 AJAX 原因:用户体验更好,既可保留用户刚输入的用户名和密码,失败之后也不需要做请求转发共享错误信息,直接返回 JSON 数据效率更高。)
  ④ 后端接收参数后,查询数据库验证是否正确,若登录失败则返回错误信息给前端,若登录成功则把员工存到 session 中,方便下次获取。
  ⑤ 页面菜单栏显示登录员工的名字,可以从 session 获取获取。

3 代码实现

  ① 登录页面

<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><title>TJ管理平台-登录</title><link rel="stylesheet" href="/static/js/bootstrap/css/bootstrap.css"><link rel="stylesheet" href="/static/js/font-awesome/css/font-awesome.min.css"><link rel="stylesheet" href="/static/js/Ionicons/css/ionicons.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/AdminLTE.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/skins/_all-skins.min.css"><link rel="stylesheet" href="/static/js/adminlte/css/fonts.googleapis.com.css"><script src="/static/js/jquery/jquery.min.js"></script><script src="/static/js/bootstrap/js/bootstrap.js"></script><script src="/static/js/adminlte/js/adminlte.min.js"></script><link rel="stylesheet" href="/static/js/plugins/sweetalert2/sweetalert2.min.css"><script src="/static/js/plugins/sweetalert2/sweetalert2.min.js"></script></head>
<body class="hold-transition login-page">
<div class="login-box"><div class="login-logo"><a href="http://www.tj.com"><b>play</b>TJ管理平台</a></div><div class="login-box-body"><p class="login-box-msg">请输入账号密码</p><form method="post" id="loginForm"><div class="form-group has-feedback"><input type="text" class="form-control" placeholder="请输入账号" name="username" value="admin"><span class="glyphicon glyphicon-envelope form-control-feedback"></span></div><div class="form-group has-feedback"><input type="password" class="form-control" placeholder="请输入密码" name="password" value="1"><span class="glyphicon glyphicon-lock form-control-feedback"></span></div><div class="row"><div class="col-xs-4"><button type="button" class="btn btn-primary btn-block btn-flat submitBtn">登录</button></div></div></form></div><script>$('.submitBtn').click(function () {$.post(/*访问页面*/'/login',$('#loginForm').serialize(),/*表单序列化*/function (data) {if(data.success){// 登录成功location.href='/employee/list'} else{// 登录失败Swal.fire({text: data.msg,icon:'error',});}})})</script>
</div>
</body>
</html>

  ② 登录Controller

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;// 定义session对象将用户存入session@RequestMapping("/login")@ResponseBodypublic JsonResult login(String username, String password, HttpSession session){try {// 登录成功 根据用户名密码进行查询 此处 employee 一定不为空Employee employee = employeeService.getByUsernameAndPassword(username,password);// session.setAttribute(UserContext.USER_IN_SESSION,employee);// 将当前用户存入线程UserContext.setCurrentUser(employee);// 获取当前用户的权限列表。List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());// 将用户权限列表存入session// session.setAttribute(UserContext.PERMISSION_IN_SESSION,permissionList);UserContext.setPermission(permissionList);return new JsonResult(true,"登录成功");} catch (Exception e){// 登录失败 打印失败信息e.printStackTrace();return new JsonResult(false,e.getMessage());}}@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate();session.removeAttribute("user_in_session");return "redirect:/static/login.html";}
}

  ③ IEmployeeService

public interface IEmployeeService {//略/*** 根据用户名密码进行登录* @param username* @param password* @return*/Employee getByUsernameAndPassword(String username, String password);
}

  ④ EmployeeServiceImpl

@Service
public class EmployeeServiceImpl implements IEmployeeService {@Autowiredprivate EmployeeMapper employeeMapper;// 略@Overridepublic Employee getByUsernameAndPassword(String username, String password) {// 基于性能优化填写的代码 防止传空if(!StringUtil.isNotEmpty(username) || !StringUtil.isNotEmpty(password)){throw new RuntimeException("账号密码有误!!!");}Employee employee = employeeMapper.getByUsernameAndPassword(username,password);if(employee == null){// throw 有 return 的功能throw new RuntimeException("账号密码有误!!!");}return employee;}
}

  ⑤ 判空工具

public class StringUtil {public static boolean isNotEmpty(String str){return str != null && !str.trim().equals("");}// 可在此处创建主方法对其进行测试
}

  ⑥ EmployeeMapper

@Repository
public interface EmployeeMapper {// 略Employee getByUsernameAndPassword(@Param("username") String username, @Param("password") String password);
}

  ⑦ EmployeeMapper.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="cn.tj.mapper.EmployeeMapper" >
<!-- MyBatis 框架中用于定义如何从数据库结果集(ResultSet)映射到 Java 对象的标签--><resultMap id="BaseResultMap" type="cn.tj.domain.Employee" ><id column="id" property="id" /><!--column为数据库中的列,property是Java对象中的属性--><result column="username" property="username" /><result column="name" property="name" /><result column="password" property="password" /><result column="email" property="email" /><result column="age" property="age" /><result column="admin" property="admin" /><!--association 这个标签用于处理一对一或一对多的关联关系--><association columnPrefix="d_" property="dept" javaType="department"><result column="id" property="id" /><result column="name" property="name" /><result column="sn" property="sn" /></association></resultMap><select id="getByUsernameAndPassword" resultMap="BaseResultMap">select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_snfrom employee e left join department d on e.dept_id = d.idwhere username=#{username} and password=#{password}</select>
</mapper>

4 LoginController – 登出

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;// 略@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate(); 杀掉Session session.removeAttribute("user_in_session"); // 只移除session中对应的信息return "redirect:/static/login.html";}
}

5 登录拦截

  实现步骤
  ① 创建登录拦截器类,实现前置拦截方法。
  ② 判断 session 中是否有员工对象,若有则代表有登录,直接放行,若没有,则重定向到登录页面,不放行。
  ③ 在配置类中注册拦截器(注意需要排除某些资源,就是不需要登录都能访问的资源)。
  ④ 登录拦截器

@Component
public class LoginInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取 Session 中的登录用户Employee employee =UserContext.getCurrentUser();// 判断该用户是否存在if(employee == null){// 没有登录,提回登录页面response.sendRedirect("/static/login.html");return false;}return true;}
}

  ⑤ 登录拦截器注册

@Configuration
public class MvcJavaConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 所有需要注册的拦截器都封装到了 InterceptorRegistry 中。registry.addInterceptor(loginInterceptor)       // 使用哪个拦截器(注册拦截器).addPathPatterns("/**")                 // 需要拦截的路径.excludePathPatterns("/static/**","/login");  // 需要排除的路径 login为登录的处理器方法}
}

6 权限拦截

  ① 拦截流程
拦截流程

  ② 权限拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {/*** Object handler 就是我们需要访问的目标方法* 之所以是 Object 类型是因为方法有两种* 情况一:访问静态资源       --> ResourceHttpRequestHandler* 情况二:访问控制器方法     --> HandlerMethod*/// System.out.println("访问地址:" + request.getRequestURI() + "--->" + handler.getClass());// 获取当前登录用户。// Employee currentUser = (Employee) request.getSession().getAttribute("user_in_session");Employee currentUser = UserContext.getCurrentUser();//取出当前用户// 判断是否为超级管理员。if(currentUser.isAdmin()){//若为超级管理员则直接放行。return true;}// 判断是否为对应的类型if(handler instanceof HandlerMethod){// 拦截请求,请求所对应的控制器方法。HandlerMethod method = (HandlerMethod) handler;// 判断当前访问方法是否需要权限控制(方法上是否有贴我们的自定义注解 @RequirePermission)RequirePermission rpAnnotation = method.getMethodAnnotation(RequirePermission.class);if(rpAnnotation == null){// 如果没有注解,说明是公共方法则直接放行。return true;}// 若有注解获取到注解的 expression 。//拦截器可以直接使用spring容器中的beanString expression = rpAnnotation.expression();// 通过用户名获取当前用户的权限列表。// 用户登录后权限一般不会变,不需要每进一个方法查询一次权限,查询一次即可(登录时获取并存入session)List<String> permissionList = UserContext.getPermission();// 判断当前拿到的 expression 在用户的权限列表中是否存在。if(!permissionList.contains(expression)){//permissionList中是否有expression// 根据请求的不同,那么我们要返回时就需要碰到两种情况if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求response.setContentType("application/json;charset=utf-8");response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"您还没有权限操作")));} else{// 页面请求,templates文件夹相当于web中的inf文件夹 ,跳转控制器方法// 若不存在则说明当前登录用户没有该方法的访问权限。拦截请求。并提到没有权限的页面。// 该页面在templates中,受保护不能直接从前端页面进行访问,需要通过控制器进行中转response.sendRedirect("/permission/nopermission");}// 拦截return false;}}return true;}
}

  ③ 注册权限拦截器

@Configuration
public class MvcJavaConfig implements WebMvcConfigurer {@Autowiredprivate LoginInterceptor loginInterceptor;@Autowiredprivate PermissionInterceptor permissionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 略// 权限拦截器registry.addInterceptor(permissionInterceptor)  // 使用哪个拦截器(注册拦截器).addPathPatterns("/**")                 // 需要拦截的路径.excludePathPatterns("/static/**","/login","favicon.ico");}
}

  ④ PermissionController 方法 – 跳转方法

	@RequestMapping("/nopermission")public String nopermission(){// 去到没有权限的 html 页面return "common/nopermission";}

  ⑤ LoginController中获取权限方法 – queryByEmployeeId

// 获取当前用户的权限列表。
List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());

  ⑥ service – queryByEmployeeId

// IPermissionService
List<String> queryByEmployeeId(Long id);
// PermissionServiceImpl
public List<String> queryByEmployeeId(Long employeeId) {return permissionMapper.queryByEmployeeId(employeeId);
}

  ⑦ mapper – queryByEmployeeId

// PermissionMapper
List<String> queryByEmployeeId(Long employeeId);
// PermissionMapper.xml
<select id="queryByEmployeeId" resultType="java.lang.String">select expression from permission where id in (select permission_id from role_permission where role_id in(select role_id from employee_role where employee_id=#{employeeId}))
</select>

7 Ajax请求没有权限时的拦截处理

  面对Ajax请求我们应返回一组Json数据,因此拦截器应有两种情况,根据不同的请求返回不同的数据(页面请求就返回页面,Ajax请求返回一组Json数据),此处页面需要走视图,Ajax不走视图(需要@response注解)
拦截处理
  PermissionInterceptor 拦截器

@Component
public class PermissionInterceptor implements HandlerInterceptor{@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 略// 判断当前拿到的 expression 在用户的权限列表中是否存在。if(!permissionList.contains(expression)){//permissionList中是否有expression// 根据请求的不同,那么我们要返回时就需要碰到两种情况if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求 需要设置响应头response.setContentType("application/json;charset=utf-8");// 向页面中写数据response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"您还没有权限操作")));} else{// 页面请求  templates文件夹相当于web中的inf文件夹// 若不存在则说明当前登录用户没有该方法的访问权限。拦截请求。并提到没有权限的页面。response.sendRedirect("/permission/nopermission");}return false;}}return true;}
}

8 抽取 UserContext 工具类

  登录拦截,权限拦截多处使用了session,因此将其抽取出来作为一个工具类,使用 RequestContextHolder 工具类,它是 Spring MVC 提供的工具类,提供了一个静态方法,可以在代码任意的地方获取 request 对象,response 对象,sessison 对象,不需要每次自己把对象传进去(存入线程中,同一条线程数据共享),但是这个工具类获取 session 的代码得写在好几个地方,所以我们可以直接再封装为一个用于获取 session 的方法,提供给其他方法调用。
  ① UserContext

public class UserContext {public static final String USER_IN_SESSION ="user_in_session";public static final String PERMISSION_IN_SESSION ="permission_in_session";//使用RequestContextHolder工具类(springMVC提供存在线程中)可在代码任意位置获取//request对象,response对象,session对象public static HttpSession getSession(){// 此处需要的是他的子类ServletRequestAttributes attrs = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();return attrs.getRequest().getSession();}//设置当前登录用户public static void setCurrentUser(Employee employee){getSession().setAttribute(USER_IN_SESSION,employee);}//设置获取登录用户public static Employee getCurrentUser(){return (Employee) getSession().getAttribute(USER_IN_SESSION);}//设置权限集合public static void setPermission(List<String> permissionList){getSession().setAttribute(PERMISSION_IN_SESSION,permissionList);}//获取权限集合public static List<String> getPermission(){return (List<String>) getSession().getAttribute(PERMISSION_IN_SESSION);}
}

  ② RequestContextHolder

public static HttpSession getSession() {ServletRequestAttributes attrs = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();return attrs.getRequest().getSession();
}

9 统一异常处理

  对于想要提示给用户的异常信息与不想用户看到的异常信息(系统级异常,显示联系管理员等信息),需要做两种方式的处理。
  ① 自定义异常处理类

// 自定义异常处理类
public class BusinessException extends RuntimeException {// 调用父类public BusinessException(String msg){super(msg);}
}

// 调用public Employee getByUsernameAndPassword(String username, String password) {if(!StringUtil.isNotEmpty(username) || !StringUtil.isNotEmpty(password)){throw new BusinessException("账号密码有误!!!");}Employee employee = employeeMapper.getByUsernameAndPassword(username,password);if(employee == null){throw new BusinessException("账号密码有误!!!");}return employee;
}

  ② 异常捕获类 – 针对不同的异常做不同的处理

// ControllerAdvice 可直接跳转到templates目录下
// ConrolletAdvice 和 Controller 的异同点// 相同点// 有四种返回值// void: 处理方法都会定义一个 HttpServlerResponse 形参。自定义响应内容(想响应什么就响应什么)// String:一般来说至少有一个 Model 形参,响应的 HTML 格式内容// ModelAndView 一般响应 HTML 格式内容,(也可以响应 JSON)// 自定义响应类型 : 响应 JSON 格式数据,@ResponseBody// 不同点// Controlelr 上面贴的是 @RequestMapping 而我们的 ConrolletAdvice 贴的是  @ExceptionHandler//  @ExceptionHandler(异常类型) 根据不同的异常类型做不同的处理。// Controller 是 在请求的过程中 访问控制器对象-->业务对象-->Mapper对象。在整个过程中,若出现了异常。// 则统一交给我们的 ExceptionControllerAdvice 处理。(需要注意一定不能try catch)
@ControllerAdvice
public class ExceptionControllerAdvice {// 自定义异常(想让用户看到的)@ExceptionHandler(BusinessException.class)public String handlerException(BusinessException e, Model model, HandlerMethod method, HttpServletResponse response){// e 为异常,model 为向前端展示的数据,method为通过目标方法有无@ResponseBody注解判断应返回页面还是json,response 为返回响应的json// 异常也分为页面异常和 ajax 请求的异常。if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求(有ResponseBody注解)response.setContentType("application/json;charset=utf-8");try {response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,e.getMessage())));} catch (IOException ex) {ex.printStackTrace();}// 走的是ajax请求,不需要返回任何界面return null;} else{// 页面请求model.addAttribute("errorMsg",e.getMessage());return "common/error";}}// 系统异常(不想让用户看到的)@ExceptionHandler(Exception.class)public String handlerException(Exception e, Model model, HandlerMethod method, HttpServletResponse response){// 异常也分为页面异常和 ajax 请求的异常。if(method.hasMethodAnnotation(ResponseBody.class)){// ajax 请求response.setContentType("application/json;charset=utf-8");try {//  将系统异常替换成其他文本response.getWriter().write(new ObjectMapper().writeValueAsString(new JsonResult(false,"系统繁忙,请联系管理员")));} catch (IOException ex) {ex.printStackTrace();}return null;} else{// 页面请求model.addAttribute("errorMsg","系统繁忙,请联系管理员");return "common/error";}}
}

  ③ LoginController – 不需再try

@Controller
public class LoginController {@Autowiredprivate IEmployeeService employeeService;@Autowiredprivate IPermissionService permissionService;@RequestMapping("/login")@ResponseBodypublic JsonResult login(String username, String password, HttpSession session){// 登录成功Employee employee = employeeService.getByUsernameAndPassword(username,password);UserContext.setCurrentUser(employee);// 获取当前用户的权限列表。List<String> permissionList =  permissionService.queryByEmployeeId(employee.getId());UserContext.setPermission(permissionList);return new JsonResult(true,"登录成功");}@RequestMapping("/logout")public String logout(HttpSession session){// session.invalidate();session.removeAttribute("user_in_session");return "redirect:/static/login.html";}
}

这篇关于Java研学-RBAC权限控制(八)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1090169

相关文章

SpringBoot使用Apache Tika检测敏感信息

SpringBoot使用Apache Tika检测敏感信息

《SpringBoot使用ApacheTika检测敏感信息》ApacheTika是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息,下面我们来看看如何使用Ap... 目录Tika 主要特性1. 多格式支持2. 自动文件类型检测3. 文本和元数据提取4. 支持 OCR(光学
阅读更多...
Java内存泄漏问题的排查、优化与最佳实践

Java内存泄漏问题的排查、优化与最佳实践

《Java内存泄漏问题的排查、优化与最佳实践》在Java开发中,内存泄漏是一个常见且令人头疼的问题,内存泄漏指的是程序在运行过程中,已经不再使用的对象没有被及时释放,从而导致内存占用不断增加,最终... 目录引言1. 什么是内存泄漏?常见的内存泄漏情况2. 如何排查 Java 中的内存泄漏?2.1 使用 J
阅读更多...
JAVA系统中Spring Boot应用程序的配置文件application.yml使用详解

JAVA系统中Spring Boot应用程序的配置文件application.yml使用详解

《JAVA系统中SpringBoot应用程序的配置文件application.yml使用详解》:本文主要介绍JAVA系统中SpringBoot应用程序的配置文件application.yml的... 目录文件路径文件内容解释1. Server 配置2. Spring 配置3. Logging 配置4. Ma
阅读更多...
Java 字符数组转字符串的常用方法

Java 字符数组转字符串的常用方法

《Java字符数组转字符串的常用方法》文章总结了在Java中将字符数组转换为字符串的几种常用方法,包括使用String构造函数、String.valueOf()方法、StringBuilder以及A... 目录1. 使用String构造函数1.1 基本转换方法1.2 注意事项2. 使用String.valu
阅读更多...
java脚本使用不同版本jdk的说明介绍

java脚本使用不同版本jdk的说明介绍

《java脚本使用不同版本jdk的说明介绍》本文介绍了在Java中执行JavaScript脚本的几种方式,包括使用ScriptEngine、Nashorn和GraalVM,ScriptEngine适用... 目录Java脚本使用不同版本jdk的说明1.使用ScriptEngine执行javascript2.
阅读更多...
Spring MVC如何设置响应

Spring MVC如何设置响应

《SpringMVC如何设置响应》本文介绍了如何在Spring框架中设置响应,并通过不同的注解返回静态页面、HTML片段和JSON数据,此外,还讲解了如何设置响应的状态码和Header... 目录1. 返回静态页面1.1 Spring 默认扫描路径1.2 @RestController2. 返回 html2
阅读更多...
Spring常见错误之Web嵌套对象校验失效解决办法

Spring常见错误之Web嵌套对象校验失效解决办法

《Spring常见错误之Web嵌套对象校验失效解决办法》:本文主要介绍Spring常见错误之Web嵌套对象校验失效解决的相关资料,通过在Phone对象上添加@Valid注解,问题得以解决,需要的朋... 目录问题复现案例解析问题修正总结  问题复现当开发一个学籍管理系统时,我们会提供了一个 API 接口去
阅读更多...
Java操作ElasticSearch的实例详解

Java操作ElasticSearch的实例详解

《Java操作ElasticSearch的实例详解》Elasticsearch是一个分布式的搜索和分析引擎,广泛用于全文搜索、日志分析等场景,本文将介绍如何在Java应用中使用Elastics... 目录简介环境准备1. 安装 Elasticsearch2. 添加依赖连接 Elasticsearch1. 创
阅读更多...
Spring核心思想之浅谈IoC容器与依赖倒置(DI)

Spring核心思想之浅谈IoC容器与依赖倒置(DI)

《Spring核心思想之浅谈IoC容器与依赖倒置(DI)》文章介绍了Spring的IoC和DI机制,以及MyBatis的动态代理,通过注解和反射,Spring能够自动管理对象的创建和依赖注入,而MyB... 目录一、控制反转 IoC二、依赖倒置 DI1. 详细概念2. Spring 中 DI 的实现原理三、
阅读更多...
SpringBoot 整合 Grizzly的过程

SpringBoot 整合 Grizzly的过程

《SpringBoot整合Grizzly的过程》Grizzly是一个高性能的、异步的、非阻塞的HTTP服务器框架,它可以与SpringBoot一起提供比传统的Tomcat或Jet... 目录为什么选择 Grizzly?Spring Boot + Grizzly 整合的优势添加依赖自定义 Grizzly 作为
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2