Struts2攔截器

Struts2攔截器的概念和Spring Mvc攔截器一樣。

1. Struts2攔截器是在訪問(wèn)某個(gè)Action或Action的某個(gè)方法，字段之前或之后實(shí)施攔截，并且Struts2攔截器是可插拔的，攔截器是ＡＯＰ的一種實(shí)現(xiàn)．
2. 攔截器棧（Interceptor Stack）。Struts2攔截器棧就是將攔截器按一定的順序聯(lián)結(jié)成一條鏈。在訪問(wèn)被攔截的方法或字段時(shí)，Struts2攔截器鏈中的攔截器就會(huì)按其之前定義的順序被調(diào)用。

使用攔截器的第一步：

自定義我的權(quán)限攔截器CheckPrivilegeInterceptor，這個(gè)攔截器繼承自AbstractInterceptor這個(gè)抽象類(lèi)，當(dāng)然你可以實(shí)現(xiàn)Interceptor這個(gè)接口。

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
import com.shizongger.oa.domain.User;

public class CheckPrivilegeInterceptor extends AbstractInterceptor {

    @Override
    public String intercept(ActionInvocation invocation) throws Exception {
        System.out.println("---攔截器未攔截之前---");
        String result = invocation.invoke();
        System.out.println("---攔截器攔截之后---");
        return result;
    }
}

自定義的攔截器要覆蓋AbstractInterceptor抽象類(lèi)的抽象方法intercept()方法，該方法是對(duì)所有的action進(jìn)行攔截，String類(lèi)型的返回值是我們將要返回的視圖，如果要放行我們要攔截的action地址，那么代碼如上所示。

使用攔截器的第二步：

配置struts的配置文件，主要是配置自定義的攔截器和配置攔截器棧。在struts.xml配置文件的package元素節(jié)點(diǎn)下添加以下配置：

<!-- 配置攔截器 -->
        <interceptors>
            <!-- 聲明攔截器 -->
            <interceptor name="checkPrivilege" class="com.shizongger.oa.util.CheckPrivilegeInterceptor"></interceptor>
            
            <!-- 重新定義默認(rèn)的攔截器棧 -->
            <interceptor-stack name="defaultStack">
                <interceptor-ref name="checkPrivilege"></interceptor-ref>           
                <interceptor-ref name="defaultStack"></interceptor-ref>             
            </interceptor-stack>
        </interceptors>

啟動(dòng)我的Tomcat服務(wù)器，當(dāng)我在瀏覽器輸入我的action地址時(shí)，都會(huì)被該攔截器的intercept攔截，默認(rèn)是放行的，如果返回空字符串則因找不到對(duì)應(yīng)的視圖而報(bào)錯(cuò)。

登錄和權(quán)限攔截

攔截器在Web開(kāi)發(fā)中應(yīng)用場(chǎng)景最多的地方就是登錄驗(yàn)證和權(quán)限驗(yàn)證了。對(duì)于那些未登錄系統(tǒng)的用戶，一般我們都把他所有的請(qǐng)求打回到登錄頁(yè)面。而對(duì)于那些已經(jīng)登錄系統(tǒng)的用戶，如果你不具有相應(yīng)的權(quán)限，那么將無(wú)法訪問(wèn)我們的url。

首先在監(jiān)聽(tīng)器中最一些系統(tǒng)做一些監(jiān)聽(tīng)任務(wù)。

public class MyServletContextListener implements ServletContextListener {
    
    Log log = LogFactory.getLog(this.getClass());
    
    @Autowired
    private PrivilegeService privilegeService;
    
    @Override
    public void contextDestroyed(ServletContextEvent sce) {
        log.debug("---銷(xiāo)毀監(jiān)聽(tīng)器---");
    }

    @Override
    public void contextInitialized(ServletContextEvent sce) {
        ServletContext sc = sce.getServletContext();
        ApplicationContext ac = WebApplicationContextUtils.getWebApplicationContext(sc);
        PrivilegeService privilegeService = (PrivilegeService) ac.getBean("privilegeServiceImpl");
        List<Privilege> topPrivilegeList = privilegeService.findTopList();
        //將權(quán)限list放到比application作用域還大的ServletContext
        sc.setAttribute("topPrivilegeList", topPrivilegeList);
        
        // 準(zhǔn)備數(shù)據(jù)：allPrivilegeUrls
        Collection<String> allPrivilegeUrls = privilegeService.getAllPrivilegeUrls();
        sc.setAttribute("allPrivilegeUrls", allPrivilegeUrls);      
    }
}

監(jiān)聽(tīng)器的任務(wù)是從Web容器中獲得Spring的容器ApplicationContext，再?gòu)腁pplicationContext中獲得權(quán)限服務(wù)類(lèi)privilegeService,這個(gè)service主要作用有兩點(diǎn)，其一是獲得有多的頂級(jí)權(quán)限列表;其二是獲得所以權(quán)限列表。將這兩者放入到application里邊。

接下來(lái)就可以在我們的攔截器中寫(xiě)登錄攔截的邏輯代碼了。

    public String intercept(ActionInvocation invocation) throws Exception {     
        //獲取信息，從session中取出當(dāng)前登錄用戶
        User user = (User) ActionContext.getContext().getSession().get("user");
        String nameSpace = invocation.getProxy().getNamespace();
        String actionName = invocation.getProxy().getActionName();
        //對(duì)應(yīng)的權(quán)限地址
        String privilegeUrl = nameSpace + actionName;
        
        //如果未登錄
        if(user == null) {
            //如果是去登錄的頁(yè)面和登錄請(qǐng)求，就放行
            if("/user_login".equals(privilegeUrl)) {
                return invocation.invoke();
            //否則跳轉(zhuǎn)到登錄頁(yè)面
            } else {
                return "loginUI";
            }
        } else {
            //如果已經(jīng)登錄則判斷是否有權(quán)限
            if(user.hasPrivilegeByUrl(privilegeUrl)) {
                return invocation.invoke();
            } else {
                return "noPrivilegeError";
            }
        }
    }

處理的邏輯是，如果未登錄，則判斷是不是要去登錄，如果用戶正在登錄則放行，其他請(qǐng)求都要跳轉(zhuǎn)到loginUI登錄頁(yè)面。如果已經(jīng)登錄，則判斷正在登錄的用戶是否具有相對(duì)應(yīng)的權(quán)限。而判斷是否具有權(quán)限的方法在我的user.java里面。

/**
 * 用戶實(shí)體
 * @author shizongger
 * @date 2017/03/24
 */
public class User {
    private Log log = LogFactory.getLog(this.getClass());
    
    private Long id;
    
    private String loginName;
    
    private String password;
    
    private String name;
    
    private String gender;
    
    private String phoneNumber;
    
    private String email;
    
    private String description;
    
    private Department department;
    
    private Set<Role> roles;
    
    //getter/settter方法
    
    /**
     * 判斷用戶是否用該權(quán)限
     * @param privilegename 權(quán)限名稱
     * @return
     */
    public boolean hasPrivilegeByName(String privilegeName) {
        log.debug("權(quán)限名稱:" + privilegeName);
        
        //從本用戶中取出所有角色
        for(Role role : roles) {
            //從角色遍歷出所有權(quán)限
            Set<Privilege> privilegeList = role.getPrivileges();
            for(Privilege privilege : privilegeList) {
                if(privilegeName.equals(privilege.getName())) {
                    log.debug(privilegeName + "---有權(quán)限---");
                    return true;
                }
            }
        }
        
        log.debug(privilegeName + "---沒(méi)有權(quán)限---");
        return false;
    }
    
    /**
     * 判斷本用戶是否有指定URL的權(quán)限
     * 
     * @param privUrl
     * @return
     */
    public boolean hasPrivilegeByUrl(String privUrl) {
        // 超級(jí)管理有所有的權(quán)限
        if (isAdmin()) {
            return true;
        }

        // >> 去掉后面的參數(shù)
        int pos = privUrl.indexOf("?");
        if (pos > -1) {
            privUrl = privUrl.substring(0, pos);
        }
        // >> 去掉UI后綴
        if (privUrl.endsWith("UI")) {
            privUrl = privUrl.substring(0, privUrl.length() - 2);
        }

        // 如果本URL不需要控制，則登錄用戶就可以使用
        Collection<String> allPrivilegeUrls = (Collection<String>) ActionContext.getContext().getApplication().get("allPrivilegeUrls");
        if (!allPrivilegeUrls.contains(privUrl)) {
            return true;
        } else {
            // 普通用戶要判斷是否含有這個(gè)權(quán)限
            for (Role role : roles) {
                for (Privilege priv : role.getPrivileges()) {
                    if (privUrl.equals(priv.getUrl())) {
                        return true;
                    }
                }
            }
            return false;
        }
    }

    /**
     * 判斷本用戶是否是超級(jí)管理員
     * 
     * @return
     */ 
    public boolean isAdmin() {
        return "admin".equals(loginName);
    }
}

hasPrivilegeByUrl()方法為根據(jù)url判斷用戶是否具有權(quán)限的代碼邏輯，此邏輯分為三部分。其一，如果登錄的用戶是超級(jí)管理員admin,則不用驗(yàn)證權(quán)限，該用戶具有所有的權(quán)限。其二，如果登錄的用戶基本功能部分不用驗(yàn)證，需要驗(yàn)證的功能才需要驗(yàn)證?；A(chǔ)功能模塊比如首頁(yè)，退出，登錄頁(yè)面等都不要再驗(yàn)證。

權(quán)限的service實(shí)現(xiàn)類(lèi)如下：

@Service
public class PrivilegeServiceImpl extends DaoSupportImpl<Privilege> implements PrivilegeService {

    @Override
    @Transactional
    public List<Privilege> findTopList() {
        List<Privilege> topPrivletList = this.getSession()
        .createQuery("FROM Privilege p WHERE p.parent IS NULL")
        .list();
        
        return topPrivletList;
    }

    @Override
    @Transactional
    public Collection<String> getAllPrivilegeUrls() {
        return getSession().createQuery(//
                "SELECT DISTINCT p.url FROM Privilege p WHERE p.url IS NOT NULL")//
                .list();
    }

}

未登錄的狀態(tài)直接輸入主頁(yè)面將自動(dòng)彈回登錄頁(yè)面，如圖所示

未登錄直接訪問(wèn)主頁(yè)面

在登錄狀態(tài)下權(quán)限如圖：

登錄之后的權(quán)限

另：

1. Spring Mvc攔截器請(qǐng)參考spring mvc攔截器
2. 本項(xiàng)目的GitHub地址