- 浏览: 29324 次
- 性别:
- 来自: 广州
最新评论
权限控制是保护系统安全运行很重要的一扇门。在web应用里,仅仅隐藏url是不够的。由于web应用是以请求/响应为单位的,我 们的权限控制的粒度只有达到这个程度才能让全国人民放心。在java web开发的世界里,MVC框架的使用再平常不过,大都是将请求拦截后,控制器根据配置文件将请求转给某个函数来处理。下面看看在struts2中我们可 以用的几种方案:
1、在每个函数里进行权限校验
这主意实在是简单,缺点我就不说了~太多了~
2、在每个请求对应的Action的配置项里配置参数,用以标示访问此Action需要的权限,再用拦截器处理
以 前我这么做过,比方案1好很多,不过这注定你无法实现ZeroConfig。在ROR的促进下,约定优于配置渐渐深入人心。本人就极其反感大量的配置文 件。但是由于权限配置提到XML里配置,最大的好处就是我不必重新编译代码就能改变权限关联。不过情况下遇到需求变更,你会有一种宁可去改代码的冲动。
3、结合Java的Annotation和Struts2的拦截器控制权限
下面是上午没事写的一个示例:访问login.jsp,登录,功能有eat和drink,用户登陆后只能访问已授权的功能链接。
基本思想:对每个Action方法进行注解,并注入一个资源字符串,部署一个拦截器,在每个请求之前拦截一下,通过反射拿到所调用的方法及其注解,依此来进行权限校验。
优点:
简单、可行性高
不修改MVC框架配置文件
不影响Action内的业务逻辑
注解的原则之一就是不影响代码的运行,这也实现了本方案的可插拔性、独立性高
更高的可配置性
缺点:
不知道对性能影响如何
代码基本上都贴到下面了,不想细讲了,有兴趣的可以留言讨论,觉得我火星的就不要拍砖了,有需要eclipse工程源码的发邮件问我要shoru#163.com。
(1)Annotation相关
Access
1package com.shoru.access;
2
3import java.lang.annotation.ElementType;
4import java.lang.annotation.Retention;
5import java.lang.annotation.RetentionPolicy;
6import java.lang.annotation.Target;
7
8/** *//**
9 * 访问控制注解
10 * 该注解保留到运行时,针对方法使用,默认为BLOCK
11 * @author Shoru
12 * @version 0.1
13 */
14@Retention(RetentionPolicy.RUNTIME)
15@Target(ElementType.METHOD)
16public @interface Access {
17 String[] value() default { AccessOption.BLOCK };
18}
AccessOption
1package com.shoru.access;
2
3/** *//**
4 * 访问控制接口,定义默认的控制常量
5 * @author Shoru
6 * @version 0.1
7 */
8public interface AccessOption {
9 /** *//**
10 * 拦截访问
11 */
12 public static String BLOCK="block";
13 /** *//**
14 * 通过访问
15 */
16 public static String PASS="pass";
17 /** *//**
18 * 要求登录
19 */
20 public static String LOGIN="login";
21}
UserAccessOption
1package com.shoru.access;
2
3
4/** *//**
5 * 用户自定义控制接口,继承自AccessOption
6 * 可将系统权限全部定义到此处,格式为:权限名=资源名
7 * @author Shoru
8 * @see AccessOption
9 */
10public interface UserAccessOption extends AccessOption {
11 public static String EAT = "eat";
12 public static String DRINK = "drink";
13}
(2)Action类
AccessAction
1package com.shoru.access.action;
2
3import java.util.ArrayList;
4import java.util.List;
5
6import com.opensymphony.xwork2.Action;
7import com.opensymphony.xwork2.ActionContext;
8import com.shoru.access.Access;
9import com.shoru.access.UserAccessOption;
10
11public class AccessAction implements Action {
12 @Access
13 public String execute() throws Exception {
14 return SUCCESS;
15 }
16
17 @Access(UserAccessOption.PASS)
18 public String index() throws Exception {
19 /**//*
20 * 此处模拟权限的获取
21 */
22 List<String> accessPoints = new ArrayList<String>();
23 /**//*
24 * 赋予eat权限
25 */
26 accessPoints.add("eat");
27 ActionContext.getContext().getSession().put("access", accessPoints);
28 return SUCCESS;
29 }
30
31 @Access(UserAccessOption.DRINK)
32 public String drink() throws Exception {
33 return SUCCESS;
34 }
35
36 @Access( { UserAccessOption.EAT })
37 public String eat() throws Exception {
38 return SUCCESS;
39 }
40}
(3)拦截器
AccessInterceptor
1package com.shoru.access.interceptor;
2
3import java.lang.annotation.Annotation;
4import java.lang.reflect.Method;
5import java.util.List;
6
7import com.opensymphony.xwork2.ActionContext;
8import com.opensymphony.xwork2.ActionInvocation;
9import com.opensymphony.xwork2.interceptor.Interceptor;
10import com.opensymphony.xwork2.util.AnnotationUtils;
11import com.shoru.access.Access;
12import com.shoru.access.AccessOption;
13
14public class AccessInterceptor implements Interceptor {
15
16 private static final long serialVersionUID = -1066389312400000758L;
17
18 List<String> accessPoints = null;
19
20 public void init() {
21
22 }
23
24 public void destroy() {
25 accessPoints = null;
26 }
27
28 public String intercept(ActionInvocation invocation) throws Exception {
29 if (accessPoints == null) {
30 /**//*
31 * 获取权限列表
32 */
33 accessPoints = (List<String>) ActionContext.getContext()
34 .getSession().get("access");
35 }
36 /**//*
37 * 获取此次调用的方法名
38 */
39 String method = invocation.getProxy().getMethod();
40 /**//*
41 * 获取所有已注解方法
42 */
43 List<Method> methods = AnnotationUtils.findAnnotatedMethods(invocation
44 .getAction().getClass(), Access.class);
45 /**//*
46 * 迭代所有已注解方法
47 */
48 for (Method m : methods) {
49 if (m.getName().equals(method)) {
50 /**//*
51 * 获取被调用方法的注解
52 */
53 Annotation annotation = m.getAnnotation(Access.class);
54 /**//*
55 * 放过不需要校验权限列表的请求,e.g.登录、验证码
56 */
57 for (String s : ((Access) annotation).value()) {
58 if (s.equals(AccessOption.PASS)) {
59 return invocation.invoke();
60 }
61 }
62 /**//*
63 * 权限列表为空,返回登录
64 */
65 if (accessPoints == null) {
66 return AccessOption.LOGIN;
67 }
68 /**//*
69 * 迭代方法注解里的值,判断是否存在于权限列表中
70 */
71 for (String s : ((Access) annotation).value()) {
72 if (accessPoints.indexOf(s) != -1) {
73 /**//*
74 * 权限校验通过
75 */
76 return invocation.invoke();
77 }
78 }
79 }
80 }
81 /**//*
82 * 没有对方法进行注解或者权限校验不通过,拦截此次请求
83 */
84 return AccessOption.BLOCK;
85 }
86}
(4)struts.xml
struts.xml
1<?xml version="1.0" encoding="UTF-8"?>
2<!DOCTYPE struts PUBLIC
3 "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
4 "http://struts.apache.org/dtds/struts-2.0.dtd">
5<struts>
6 <package name="access" extends="struts-default">
7 <interceptors>
8 <!-- 权限拦截器 -->
9 <interceptor name="access"
10 class="com.shoru.access.interceptor.AccessInterceptor"></interceptor>
11 <interceptor-stack name="my-default">
12 <interceptor-ref name="access"></interceptor-ref>
13 <interceptor-ref name="defaultStack"></interceptor-ref>
14 </interceptor-stack>
15 </interceptors>
16 <default-interceptor-ref name="my-default"></default-interceptor-ref>
17 <global-results>
18 <result name="block">/login.jsp</result>
19 <result name="login">/login.jsp</result>
20 </global-results>
21 <!-- Zero Config All Actions -->
22 <action name="*" class="com.shoru.access.action.AccessAction"
23 method="{1}">
24 <result>/{1}.jsp</result>
25 </action>
26 </package>
27</struts>
1、在每个函数里进行权限校验
这主意实在是简单,缺点我就不说了~太多了~
2、在每个请求对应的Action的配置项里配置参数,用以标示访问此Action需要的权限,再用拦截器处理
以 前我这么做过,比方案1好很多,不过这注定你无法实现ZeroConfig。在ROR的促进下,约定优于配置渐渐深入人心。本人就极其反感大量的配置文 件。但是由于权限配置提到XML里配置,最大的好处就是我不必重新编译代码就能改变权限关联。不过情况下遇到需求变更,你会有一种宁可去改代码的冲动。
3、结合Java的Annotation和Struts2的拦截器控制权限
下面是上午没事写的一个示例:访问login.jsp,登录,功能有eat和drink,用户登陆后只能访问已授权的功能链接。
基本思想:对每个Action方法进行注解,并注入一个资源字符串,部署一个拦截器,在每个请求之前拦截一下,通过反射拿到所调用的方法及其注解,依此来进行权限校验。
优点:
简单、可行性高
不修改MVC框架配置文件
不影响Action内的业务逻辑
注解的原则之一就是不影响代码的运行,这也实现了本方案的可插拔性、独立性高
更高的可配置性
缺点:
不知道对性能影响如何
代码基本上都贴到下面了,不想细讲了,有兴趣的可以留言讨论,觉得我火星的就不要拍砖了,有需要eclipse工程源码的发邮件问我要shoru#163.com。
(1)Annotation相关
Access
1package com.shoru.access;
2
3import java.lang.annotation.ElementType;
4import java.lang.annotation.Retention;
5import java.lang.annotation.RetentionPolicy;
6import java.lang.annotation.Target;
7
8/** *//**
9 * 访问控制注解
10 * 该注解保留到运行时,针对方法使用,默认为BLOCK
11 * @author Shoru
12 * @version 0.1
13 */
14@Retention(RetentionPolicy.RUNTIME)
15@Target(ElementType.METHOD)
16public @interface Access {
17 String[] value() default { AccessOption.BLOCK };
18}
AccessOption
1package com.shoru.access;
2
3/** *//**
4 * 访问控制接口,定义默认的控制常量
5 * @author Shoru
6 * @version 0.1
7 */
8public interface AccessOption {
9 /** *//**
10 * 拦截访问
11 */
12 public static String BLOCK="block";
13 /** *//**
14 * 通过访问
15 */
16 public static String PASS="pass";
17 /** *//**
18 * 要求登录
19 */
20 public static String LOGIN="login";
21}
UserAccessOption
1package com.shoru.access;
2
3
4/** *//**
5 * 用户自定义控制接口,继承自AccessOption
6 * 可将系统权限全部定义到此处,格式为:权限名=资源名
7 * @author Shoru
8 * @see AccessOption
9 */
10public interface UserAccessOption extends AccessOption {
11 public static String EAT = "eat";
12 public static String DRINK = "drink";
13}
(2)Action类
AccessAction
1package com.shoru.access.action;
2
3import java.util.ArrayList;
4import java.util.List;
5
6import com.opensymphony.xwork2.Action;
7import com.opensymphony.xwork2.ActionContext;
8import com.shoru.access.Access;
9import com.shoru.access.UserAccessOption;
10
11public class AccessAction implements Action {
12 @Access
13 public String execute() throws Exception {
14 return SUCCESS;
15 }
16
17 @Access(UserAccessOption.PASS)
18 public String index() throws Exception {
19 /**//*
20 * 此处模拟权限的获取
21 */
22 List<String> accessPoints = new ArrayList<String>();
23 /**//*
24 * 赋予eat权限
25 */
26 accessPoints.add("eat");
27 ActionContext.getContext().getSession().put("access", accessPoints);
28 return SUCCESS;
29 }
30
31 @Access(UserAccessOption.DRINK)
32 public String drink() throws Exception {
33 return SUCCESS;
34 }
35
36 @Access( { UserAccessOption.EAT })
37 public String eat() throws Exception {
38 return SUCCESS;
39 }
40}
(3)拦截器
AccessInterceptor
1package com.shoru.access.interceptor;
2
3import java.lang.annotation.Annotation;
4import java.lang.reflect.Method;
5import java.util.List;
6
7import com.opensymphony.xwork2.ActionContext;
8import com.opensymphony.xwork2.ActionInvocation;
9import com.opensymphony.xwork2.interceptor.Interceptor;
10import com.opensymphony.xwork2.util.AnnotationUtils;
11import com.shoru.access.Access;
12import com.shoru.access.AccessOption;
13
14public class AccessInterceptor implements Interceptor {
15
16 private static final long serialVersionUID = -1066389312400000758L;
17
18 List<String> accessPoints = null;
19
20 public void init() {
21
22 }
23
24 public void destroy() {
25 accessPoints = null;
26 }
27
28 public String intercept(ActionInvocation invocation) throws Exception {
29 if (accessPoints == null) {
30 /**//*
31 * 获取权限列表
32 */
33 accessPoints = (List<String>) ActionContext.getContext()
34 .getSession().get("access");
35 }
36 /**//*
37 * 获取此次调用的方法名
38 */
39 String method = invocation.getProxy().getMethod();
40 /**//*
41 * 获取所有已注解方法
42 */
43 List<Method> methods = AnnotationUtils.findAnnotatedMethods(invocation
44 .getAction().getClass(), Access.class);
45 /**//*
46 * 迭代所有已注解方法
47 */
48 for (Method m : methods) {
49 if (m.getName().equals(method)) {
50 /**//*
51 * 获取被调用方法的注解
52 */
53 Annotation annotation = m.getAnnotation(Access.class);
54 /**//*
55 * 放过不需要校验权限列表的请求,e.g.登录、验证码
56 */
57 for (String s : ((Access) annotation).value()) {
58 if (s.equals(AccessOption.PASS)) {
59 return invocation.invoke();
60 }
61 }
62 /**//*
63 * 权限列表为空,返回登录
64 */
65 if (accessPoints == null) {
66 return AccessOption.LOGIN;
67 }
68 /**//*
69 * 迭代方法注解里的值,判断是否存在于权限列表中
70 */
71 for (String s : ((Access) annotation).value()) {
72 if (accessPoints.indexOf(s) != -1) {
73 /**//*
74 * 权限校验通过
75 */
76 return invocation.invoke();
77 }
78 }
79 }
80 }
81 /**//*
82 * 没有对方法进行注解或者权限校验不通过,拦截此次请求
83 */
84 return AccessOption.BLOCK;
85 }
86}
(4)struts.xml
struts.xml
1<?xml version="1.0" encoding="UTF-8"?>
2<!DOCTYPE struts PUBLIC
3 "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
4 "http://struts.apache.org/dtds/struts-2.0.dtd">
5<struts>
6 <package name="access" extends="struts-default">
7 <interceptors>
8 <!-- 权限拦截器 -->
9 <interceptor name="access"
10 class="com.shoru.access.interceptor.AccessInterceptor"></interceptor>
11 <interceptor-stack name="my-default">
12 <interceptor-ref name="access"></interceptor-ref>
13 <interceptor-ref name="defaultStack"></interceptor-ref>
14 </interceptor-stack>
15 </interceptors>
16 <default-interceptor-ref name="my-default"></default-interceptor-ref>
17 <global-results>
18 <result name="block">/login.jsp</result>
19 <result name="login">/login.jsp</result>
20 </global-results>
21 <!-- Zero Config All Actions -->
22 <action name="*" class="com.shoru.access.action.AccessAction"
23 method="{1}">
24 <result>/{1}.jsp</result>
25 </action>
26 </package>
27</struts>
发表评论
-
Struts2直接访问jsp页面出现标签解析异常
2012-04-17 22:30 1643环境:struts2 操作:struts2中直接访问jsp ... -
STRUTS2文件上传和下载
2012-04-12 10:39 1402Struts2文件上传和下载 1. 文件上传的原理: ... -
struts2上传的Web文件ContentType类型大全
2012-03-31 21:56 1560核心配置文件中的action ... -
struts2上传的Web文件ContentType类型大全
2012-03-31 21:46 0".*"= ... -
Hibernate的Criteria用法总结
2012-01-11 14:21 714您所在的位置:开发 > ... -
关于MVC模式及其优缺点
2011-12-27 21:57 3312MVC是一个架构,或者说是一个设计模式,它就是强制性使应用程序 ... -
J2EE层次设计架构
2011-12-27 21:11 1136典型的三层结构: 三层结构估计大家都很熟悉了:表示(pres ... -
Hibernate工作原理及为什么要用?
2011-12-27 20:38 881原理: 1. 读取并解析配置文件 2. 读取并解析映射信息,创 ... -
Struts 体系结构与工作原理
2011-12-27 20:35 820基本概念 Struts是Apache 基金会Jakart ... -
Spring工作原理
2011-12-27 20:24 914内部最核心的就是IOC了, 动态注入,让一个对象的创建不用 ...
相关推荐
在这个小例子中,我们将深入探讨如何利用Struts2的Annotation配置来构建一个简单的应用。 首先,让我们了解什么是Annotation。在Java中,Annotation是一种元数据,它提供了一种安全的方式向编译器、JVM或者第三方...
在Struts2中,Annotation注解的引入为开发者提供了更加灵活和便捷的配置方式,使得无需在XML配置文件中进行繁琐的设置,可以直接在类或方法上通过注解来进行配置。本文将深入探讨Struts2中的Annotation配置,以及...
#### 二、Struts2中的注解(Annotation) Struts2框架通过其扩展插件——Struts Convention Plugin,支持使用注解的方式来配置控制器。这种方式简化了配置过程,使得开发者可以更专注于业务逻辑的编写。 #### 三、...
Spring Security(前身为Acegi Security)是Spring生态系统中的一个强大安全框架,支持细粒度的权限控制。在Spring中,我们可以使用`@Secured`或`@PreAuthorize`等注解在方法级别上进行权限检查。此外,Spring的事务...
在这个基于Annotation的小DEMO中,我们将探讨如何使用Struts2.3.15的注解特性来创建一个简单的Web应用。 首先,Struts2的注解简化了Action类的配置。在传统的Struts2配置中,我们通常会在struts.xml文件中定义每个...
在给定的“struts2-Annotation”主题中,重点是Struts2框架如何利用注解(Annotation)来增强其功能和简化配置。注解是一种元数据,可以在代码中嵌入,提供有关类、方法或字段的额外信息,而无需编写XML配置文件。 ...
标题“struts2annotation json”暗示我们将探讨如何在Struts2中使用注解来处理JSON相关的功能。首先,让我们深入理解Struts2的注解系统。 1. **Struts2注解**: - `@Action`: 这个注解用于标记一个方法为处理HTTP...
Struts2、Hibernate3和Spring2.5是Java Web开发中的三大框架,它们各自负责不同的职责,但可以协同工作以构建高效的企业级应用。这里主要讨论的是如何将这三者结合,并利用注解(Annotation)进行配置,以简化开发...
总结来说,在嵌入式Jetty环境下运行Struts2 Annotation项目涉及到Java Web开发中的多个关键知识点,包括服务器容器、MVC框架的使用以及注解驱动的编程模式。理解并掌握这些概念对于提高开发效率和代码可维护性至关...
### 反射与注解在Struts2中的应用——实现精细权限控制 #### 一、引言 在软件开发过程中,权限控制是一项重要的安全措施,它确保系统的不同部分只能被授权用户访问。对于大型管理系统(MIS)而言,基于方法级别的...
在Struts2中,拦截器(Interceptor)是核心组件之一,它们在Action执行前后进行拦截,实现了如日志记录、权限检查、数据验证等业务逻辑。而"struts2 interceptor annotation plugin"则是Struts2框架提供的一种使用...
在Struts2中,使用注解(Annotation)可以简化配置,提高开发效率。本篇文章将深入探讨如何在Struts2中通过注解实现返回JSON数据的功能。 首先,让我们理解JSON(JavaScript Object Notation)是一种轻量级的数据...
博文链接:https://flym.iteye.com/blog/174358
在Struts2框架中,使用注解(Annotation)可以极大地简化控制器类的配置,提高代码的可读性和维护性。本文将深入探讨如何利用Struts2的注解功能实现批量下载功能,并通过创建临时文件来处理下载请求,同时确保在下载...
本主题聚焦于"S2SH"的整合,即Struts2、Hibernate3和Spring2的结合,并特别强调了使用Annotation的方式。以下是对这些技术以及整合过程的详尽解析。 **Struts2** 是一个基于MVC(Model-View-Controller)设计模式的...
通过这个"struts annotation Hello World"的学习,你可以掌握如何在Struts 2中使用注解来简化开发流程,同时也能对MVC架构有一个基本的理解。进一步研究Struts 2的其他注解和特性,将有助于构建更高效、更易于维护的...
【标题】:“jQuery EasyUI+Struts2+Spring+Hibernate基于注解实现的CRM系统” 在IT领域,CRM(Customer Relationship Management,客户关系管理)系统是企业用来优化与客户交互和管理的重要工具。本项目利用一系列...
Struts2是基于Java的一个开源MVC框架,它继承了Struts1的设计理念,并且采用了拦截器架构,这使得它可以更好地与Spring、Hibernate等其他框架集成。Struts2支持多种配置方式,如XML配置、注解配置等,其中注解配置因...