标签:拦截器 return 用户 session employee 拦截 权限 页面
文章目录
逻辑图
登陆拦截逻辑图
权限拦截逻辑图
控制器部分
- 获取前端传来的用户名和密码进行验证,验证成功则把对象放进session中
- 并获取此用户所拥有的所有权限表达式放入session中 为了给权限拦截器进行判断
@Autowired
private IEmployeeService employeeService;
@Autowired
private IPermissionService permissionService;
@RequestMapping("/userLogin")
@ResponseBody
public JsonResult login(String username, String password, HttpSession session) {
try {
Employee employee = employeeService.login(username, password);//验证登录,登陆失败则抛出异常
// 把用户信息存到session
session.setAttribute("USER_IN_SESSION", employee);
if (!employee.isAdmin()) {
// 查询该用户拥有的权限信息(集合表达式)
List<String> stringList = permissionService.selectByEmpId(employee.getId());
// 把权限信息存到session
session.setAttribute("PREMISSION_IN_SESSION", stringList);
}
//
return new JsonResult();
} catch (Exception e) {
e.printStackTrace();
return new JsonResult(false, e.getMessage());
}
}
查询该用户拥有的权限信息(集合表达式)使用到的sql语句部分
- permissionService.selectByEmpId(employee.getId());业务层内调用dao层的方法
- 通过员工id 连 ‘员工_角色表’ 再连 ‘角色_权限表’ 再连 ‘权限表’ (三表连接) 获取此员工对应的所有权限表达式,返回成一个String集合
<select id="selectByEmpId" resultType="string">
select distinct expression from employee_role er join role_permission rp on er.role_id = rp.role_id
join permission p on rp.permission_id = p.id
where er.employee_id =#{empId}
</select>
拦截器部分
登陆拦截器
- 实现拦截器接口,并重写preHandler方法
- 从session寻找用户,若用户没有登录,则无法访问其他页面,被强行跳转至登陆页面
//登陆拦截器
public class LoginInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 从session中获取用户信息
Object employee=request.getSession().getAttribute("USER_IN_SESSION");
// 如果不存在,代表没有登录,跳转到登陆页面,不放行
if (employee==null){
response.sendRedirect("/login.html");
return false;//不放行
}
return true;//放行
}
}
权限拦截器
- 从session中获取用户信息,和此用户的所拥有的权限信息集合
- 若此用户是超级管理员则放行 若不是则判断访问的url的权限是否被在此用户拥有的权限信息集合所包含,包含则放行,不包含则跳转到’提示无权限访问’的页面
public class PermissionInterception implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 从session中获取用户信息
Employee employee = (Employee) request.getSession().getAttribute("USER_IN_SESSION");
if (employee.isAdmin()){
return true;//放行
}
// handler代表被拦截对象(可能是静态资源相关,也可能是处理方法)
// 强转为HandlerMethod(当前被拦截的处理方法)
if (!(handler instanceof HandlerMethod)){//如果不是HandlerMethod类型,就直接放行
return true;
}
HandlerMethod method = (HandlerMethod) handler;
// 获取方法上的注解
RequiredPermission annotation = method.getMethodAnnotation(RequiredPermission.class);
if (annotation==null){
return true;//放行
}
// 查询用户拥有的权限信息(权限表达式集合)
List<String> stringList = (List<String>) request.getSession().getAttribute("PREMISSION_IN_SESSION");
// 获取权限注解中的表达式
String expression = annotation.expression();
// 判断集合中是否包含此表达式
if (stringList.contains(expression)){
return true;//放行
}
// request进行请求转发,不会经过视图解析器,导致ftl的指令没有办法解析
response.sendRedirect("/nopermission");
return false;
}
}
applicationContext.xml配置部分
- 先配置登陆拦截 后配权限拦截
- 不截拦静态资源和登陆页面与登陆控制器
<!-- 配置拦截器-->
<mvc:interceptors>
<!-- 执行顺序 就是配置顺序-->
<mvc:interceptor>
<mvc:mapping path="/**"/><!--需要拦截的路径 -->
<mvc:exclude-mapping path="/login.html"/><!--排除拦截登陆页面的路径 -->
<mvc:exclude-mapping path="/userLogin"/><!--排除拦截登陆控制器的路径 -->
<mvc:exclude-mapping path="/js/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/css/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/img/**"/><!--排除拦截的路径 -->
<bean class="com.edt.web.interceptor.LoginInterceptor"/>
</mvc:interceptor>
<mvc:interceptor>
<mvc:mapping path="/**"/><!--需要拦截的路径 -->
<mvc:exclude-mapping path="/nopermission"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/login.html"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/userLogin"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/js/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/css/**"/><!--排除拦截的路径 -->
<mvc:exclude-mapping path="/img/**"/><!--排除拦截的路径 -->
<bean class="com.edt.web.interceptor.PermissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>
标签:拦截器,return,用户,session,employee,拦截,权限,页面 来源: https://blog.csdn.net/EDT777/article/details/111163886
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。