码迷,mamicode.com
首页 > 其他好文 > 详细

servlet极简单权限拦截设计处理

时间:2015-04-13 22:59:32      阅读:149      评论:0      收藏:0      [点我收藏+]

标签:权限   操作   拦截   过滤   

在java web的开发中 遇到的极其简单的权限控制,整个小项目就分为四五种用户的权限角色,因此不想考虑使用框架以及数据库建角色表,菜单表,操作表等来完成权限设计,而是采用反射,注解的简单方法完成。
核心代码
BaseServlet.java文件

package com.zk.servlet;

import java.io.IOException;
import java.lang.reflect.Method;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import com.zk.annotation.Permission;
import com.zk.bean.User;

/**
 * servlet基类
 * 
 * @Description TODO
 * @author zk
 * @version 1.0
 * @date 2015-4-9 下午4:53:11
 */
@SuppressWarnings("all")
public abstract class BaseServlet extends HttpServlet {
    private static final long serialVersionUID = -6898295798172047477L;
    protected void service(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        /**
         * 思路1 .根据method参数 处理 2.使用反射调用
         *   2 加入简单的权限判断(当然也可以通过过滤器设计 拦截实现)
         *      由于本案例不需要复杂的权限设计,故没有采用分别建几张表 来存角色,菜单,操作等信息,只用在用户表添加一个字段 level  0 1,4,7来处理
         *      0:此用户无效(软删除)相当于已经删除
         *      1: 普通访客等级 无需登录 主要是前端的信息浏览
         *      4 :会员等级 可以登录,进行相关操作
         *      7 :顶级管理员操作 
         *      中间预留一些字段做不同的权限。
         *  3权限判断的核心思路:
         *             1> 建一个 BaseServlet 父类 让之类Servlet继承
         *             2> 在BaseServlet 中重写service 方法通过反射 以及在之类中的方法操作上加自定义注解【见下文自定义注解文件】 eg:@Permission(level=3)
         *             3> 在service 方法中通过 request.getParmenter("method") 获取在子类中对应的方法操作名称,并反射获取该方法名称
         *                上面的注解信息 level  
         *             4> 对注解信息 以及用户的登录状态 和用户的level状态进行判断
         *                   对于有些操作需要登录 或者权限等级较高的  就可以重定向处理拦截权限
         *                      0等级忽略  由于1 为 普通权限 故先判断是否为普通权限 就是普通网站访问者权限
         *                        当操作方法的leve为1 放行
         *                        不为1 说明需要更高的用户权限
         *                        那么首先判断是否登录 没有登录的 返回登录
         *                        登录成功的  获取登录用户的leve状态 和请求该方法的操作level权限等级对比
         *                        如果用户的leve小于该方法操作的 就拦截 返回,反之就可以进行方法操作
         *                  
         *             
         */
        // 只处理了post的乱码问题,get自行处理
        req.setCharacterEncoding("utf-8");
        // 只是处理 了 字符流的问题,字节流自行处理
        resp.setContentType("text/html;charset=utf-8");
        String methodName = req.getParameter("method");
        // 判断是否有方法
        if (methodName == null || methodName.trim().isEmpty()) {
            throw new RuntimeException("亲!请传入method的参数");
        }
        Class clazz = this.getClass();
        Method method = null;
        try {
            method = clazz.getMethod(methodName, HttpServletRequest.class,
                    HttpServletResponse.class);
            // 注意 此处利用注解 获取 每一个请求方法上的注解信息
            Permission info = method.getAnnotation(Permission.class);
            // 如果获取到注解信息
            if (info != null) {
                int level = info.level();// 访问此操作需要的权限级别
                if (level != 1) { // level 级别为默认的 最低等级 故无需处理 跳过
                    // level !=1 说明需要登录 以及更高等级的用户权限
                    User user = (User) req.getSession()
                            .getAttribute("backUser");
                    // 判断是否登录
                    if (req.getSession().getAttribute("backUser") == null) {
                        String contextPath = getServletContext()
                                .getContextPath();
                        resp.getWriter()
                                .print("亲,您还没有登录,请<a href=‘"
                                        + contextPath
                                        + "/index.jsp‘ target=‘_parent‘>登录</a>!");
                        return;
                    } else {
                        // 登录成功 判断用户所拥有等级与 此操作的等级
                        if (user.getLevel() < level) {
                            String contextPath = getServletContext()
                                    .getContextPath();
                            resp.getWriter()
                                    .print("对不起,你暂且无权限操作,请<a href=‘"
                                            + contextPath
                                            + "/index.jsp‘ target=‘_parent‘>登录</a>申请为会员!");
                            return;
                        }
                    }
                }

            }

        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("亲!传入method的参数错误");
        }
        try {
            String result = (String) method.invoke(this, req, resp);
            if (result != null && !result.trim().isEmpty()) {
                req.getRequestDispatcher(result).forward(req, resp);
            }
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        }

    }

}

自定义注解文件Permission.java

package com.zk.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
/**
 * 自定义权限注解
 * @Description TODO
 * @author zk
 * @version 1.0
 * @date 2015-4-12 下午9:34:46
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(value={ElementType.METHOD,ElementType.TYPE})
public @interface Permission {
    int level ();
}

子类Servlet的操作 使用示例:

package com.zk.servlet;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.beanutils.BeanUtils;

import com.zk.annotation.Permission;
import com.zk.bean.Customer;
import com.zk.bean.Message;
import com.zk.bean.MessageType;
import com.zk.bean.MessageTypeLev;
import com.zk.bean.PageBean;
import com.zk.bean.User;
import com.zk.service.CustomerService;
import com.zk.service.MessageService;
import com.zk.service.MessageTypeService;

/**
 * 和信息相关的控制器 继承自定义的BaseServlet
 * 
 * @Description TODO
 * @author zk
 * @version 1.0
 * @date 2015-4-11 上午10:21:56
 */
public class MessageServlet extends BaseServlet {
    /**
     * 通过id删消息
     * @param request
     * @param response
     * @return
     * @throws ServletException
     * @throws IOException
     */
    @Permission(level = 3)// 注意 :注解的使用 不同的操作设置不同的值
    public String deleteById(HttpServletRequest request,
            HttpServletResponse response) throws ServletException, IOException {
        String id = request.getParameter("id");
        String pageCode = request.getParameter("pageCode");
        String totalPage = request.getParameter("totalPage");
        MessageService cs = new MessageService();
        cs.deleteById(id);
        int pg = 1;
        if (Integer.parseInt(totalPage) % Integer.parseInt(pageCode) == 0) {
            if (Integer.parseInt(pageCode) > 1) {
                pg = Integer.parseInt(pageCode) - 1;
            } else {
                // 已结没有信息了
            }
        }
        return "/message?method=listMsg&pageCode=" + pg;
    }
}

附上user用户表设计的结构

-- ----------------------------
-- Table structure for t_customer
-- ----------------------------
CREATE TABLE `t_customer` (
  `id` varchar(40) NOT NULL,
  `username` varchar(20) DEFAULT NULL,
  `gender` varchar(10) DEFAULT NULL,
  `birthday` varchar(20) DEFAULT NULL,
  `cellphone` varchar(20) DEFAULT NULL,
  `email` varchar(40) DEFAULT NULL,
  `love` varchar(100) DEFAULT NULL,
  `type` varchar(40) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

总结:反射 注解 简单继承 统一处理。东西和思路比较粗糙,只是为了实现写简单功能,希望批判接受和建议,谢谢。

servlet极简单权限拦截设计处理

标签:权限   操作   拦截   过滤   

原文地址:http://blog.csdn.net/u011761678/article/details/45032671

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!