Spring MVC 使用拦截器优雅地实现权限验证功能

在上一篇 SpringAOP 实现功能权限校验功能 中虽然用AOP通过抛异常，请求转发等勉强地实现了权限验证功能，但感觉不是那么完美，应该用拦截器来实现才是最佳的，因为拦截器就是用来拦截请求的，在请求层面进行权限验证是最好的时机。

假设下面的请求需要进行权限验证，在请求中通过参数params指定必须带有Helper.PARAM_FUNCTION_ID参数，这样拦截器通过判断是否带有该参数，如果带有则进行权限验证，否则不作处理。

@RequestMapping(value = "/moduleAccess.do",params=Helper.PARAM_FUNCTION_ID, method = RequestMethod.POST, produces="text/html;charset=utf-8") @ResponseBody public String moduleAccess(String action,FrmModule module) { int rs = -1; try{ if(Helper.F_ACTION_CREATE.equals(action)){ rs = moduleService.access(module,Helper.DB_ACTION_INSERT); //module.setModuleid(rs); module = moduleService.selectByPrimaryKey(rs); }else if(Helper.F_ACTION_EDIT.equals(action)){ rs = moduleService.access(module,Helper.DB_ACTION_UPDATE); module = moduleService.selectByPrimaryKey(module.getModuleid()); }else if(Helper.F_ACTION_REMOVE.equals(action)){ rs = moduleService.access(module,Helper.DB_ACTION_DELETE); }else{ return JSON.toJSONString(new Result(false,"请求参数错误：action")); } }catch(Exception e){ e.printStackTrace(); return JSON.toJSONString(new Result(false,"操作失败,出现异常，请联系管理员！")); } if(rs<0){ return JSON.toJSONString(new Result(false,"操作失败，请联系管理员！")); } return JSON.toJSONString(new Result(true,module)); }

 

 

那么对应的拦截器就直接用登录验证的那个拦截器即可，SecurityInterceptor

package com.jykj.demo.filter; import java.io.PrintWriter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; import com.alibaba.fastjson.JSON; import com.jykj.demo.entity.SysUser; import com.jykj.demo.service.SysUserRolePermService; import com.jykj.demo.util.Helper; import com.jykj.demo.util.Result; /** * 1.此拦截器用于拦截所有请求，用于登录权限验证 * 2.拦截 带 moduleId 参数的请求，在渲染视图之前返回 模块权限值 * @author Administrator * */ public class SecurityInterceptor implements HandlerInterceptor{ @Autowired SysUserRolePermService sysUserRolePermService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { System.out.println("SecurityInterceptor preHandle:"+request.getContextPath()+","+request.getRequestURI()+","+request.getMethod()); HttpSession session = request.getSession(); if (session.getAttribute(Helper.SESSION_USER) == null) { System.out.println("AuthorizationException:未登录！"+request.getMethod()); if("POST".equalsIgnoreCase(request.getMethod())){ response.setContentType("text/html; charset=utf-8"); PrintWriter out = response.getWriter(); out.write(JSON.toJSONString(new Result(false,"未登录！"))); out.flush(); out.close(); }else{ response.sendRedirect(request.getContextPath()+"/login"); } return false; } else { Object obj = request.getParameter(Helper.PARAM_FUNCTION_ID); if(obj==null) return true;//没有带功能参数不需要验证 int functionId = Integer.parseInt(obj.toString()); String rs = sysUserRolePermService.permissionValidate(functionId); System.out.println("校验结果:"+rs); if(rs.trim().isEmpty()){ return true;//正常通过 }else{ response.setContentType("text/html; charset=utf-8"); PrintWriter out = response.getWriter(); out.write(JSON.toJSONString(new Result(false,rs))); out.flush(); out.close(); return false; } } } //模块权限值 @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { /* Object obj = request.getParameter(Helper.PARAM_MODULE_ID); System.out.println(Helper.PARAM_MODULE_ID+":"+obj); if(obj == null) return;//如果没有moduleId 参数，否则什么都不做，否则返回模块权限值 System.out.println("SecurityInterceptor postHandle:"+request.getContextPath()+","+request.getRequestURI()+","+request.getMethod()); SysUser loginUser = (SysUser)request.getSession().getAttribute(Helper.SESSION_USER); int value = sysUserRolePermService.getModulePerm(loginUser.getUserid(),Integer.parseInt(obj.toString())); modelAndView.addObject(Helper.MVALUE,value); */ } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { } } 

 

拦截器配置不变

 <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/*"/> <!-- 拦截/ /test /login 等等单层结构的请求 --> <mvc:mapping path="/**/*.aspx"/><!-- 拦截后缀为.aspx的请求 --> <mvc:mapping path="/**/*.do"/><!-- 拦截后缀为 .do的请求 --> <mvc:exclude-mapping path="/login"/> <mvc:exclude-mapping path="/signIn"/> <mvc:exclude-mapping path="/register"/> <bean class="com.jykj.demo.filter.SecurityInterceptor"> </bean> </mvc:interceptor> </mvc:interceptors>

这样即实现了对某个功能的权限校验的功能 
客户端发送 /moduleAccess.do 请求，该请求带有参数Helper.PARAM_FUNCTION_ID，其值为某个功能的id 
然后拦截器拦截该请求，判断出带有该参数，则对其进行权限校验，如果未通过，写response给客户端，格式是json的字符串，并返回false表示请求已由本拦截器处理了，不会往下执行（返回true表示正常往下执行）。这样就达到了权限验证的目的。这是相对更优雅的实现方式，最起码比上一篇讲的用AOP来实现更优雅。

另外拦截器的postHandle方法是在控制器执行结束，页面渲染之前执行的，所以可以用来给页面添加或修改model属性。