声明:3.6以后的bboss中已经增加了安全过滤器,不再需要这个拦截器来进行安全认证检测
浅谈 bboss mvc 页面访问控制实现机制,本文介绍如何通过bboss mvc框架中的拦截器来实现页面访问控制功能,内容不多,很简单,但是很实用,呵呵。切入正题。
1.bboss mvc拦截器介绍
1.1 bboss mvc的拦截器接口为:
1.2 bboss mvc提供了页面访问控制的基础抽象类,这个类实现了HandlerInterceptor接口:
AuthenticateInterceptor提供了抽象方法:
参数说明:前两个参数是url请求提供了jsp请求对象request和请求响应对象response,第三个参数是mvc请求控制器的元数据信息handlerMeta,通过这个对象用户可以获取到控制的相关定义信息。
返回值说明:返回boolean值,如果是true表示允许访问,为false表示不允许访问。如果验证通过时,还可以将用户会话信息以特定的key值对方式存储到request的attribute中,以便控制器方法中方便地获取用户会话信息;如果验证不通过那么则跳转到用户指定的页面,同时会将用户当前请求的页面信息(页面路径,页面参数)转交给失败跳转页(一般是登陆页面),当登陆通过后,任然允许用户获取这些信息转向到需要访问的页面。
1.3 通过继承AuthenticateInterceptor类并实现其中的抽象check方法用户可以非常方便地实现自己的访问控制拦截器
1.4 用户实现了自己的访问控制拦截器后,还需要在bboss-mvc.xml中配置访问控制拦截和器拦截页面规则(可以非常方便地配置需要拦截的url请求和不需要拦截的url请求,如果不指定这些规则,就拦截所有的url请求方法,这里的url请求指的是mvc控制url请求)。
下面举例说明
2.实现自己的访问控制拦截器
2.1 访问控制拦截器定义
这个访问控制拦截器逻辑非常简单,直接通过name参数值来判断页面是否可以访问,如果name有值并且值为test那么就阻止用户继续访问,否则允许用户访问。
2.2 访问控制拦截器及拦截规则配置
bboss-mvc.xml文件中找到如下内容(如果没有就加进去,这里可以配置多个全局拦截器):
找到后将访问控制拦截器配置进去:
这里需要说明一下:
patternsInclude-用来指定需要拦截的url请求规则列表,可以是通配符,也可以是具体的地址
patternsExclude-用来指定不需要拦截的url请求规则列表,可以是通配符,也可以是具体的地址
redirecturl-用来指定验证失败时需要跳转的页面,例如/login.jsp,前面带/表示这个地址是相对于应用上下文的地址,当前请求的页面信息(页面路径,页面参数)转交给失败跳转页(一般是登陆页面),当登陆通过后,任然允许用户通过获取这些信息转向到需要访问的页面(跳不跳由用户自己决定)。
如果patternsInclude和patternsExclude都没有指定,那么默认拦截所有的控制方法请求。patternsExclude指定的规则优先级要高些,只要匹配上这个规则那么页面通通放行。
ok,就这么简单,呵呵,本文参考bbossgroups 3.2版本功能编写,适用3.2及后续版本。
浅谈 bboss mvc 页面访问控制实现机制,本文介绍如何通过bboss mvc框架中的拦截器来实现页面访问控制功能,内容不多,很简单,但是很实用,呵呵。切入正题。
1.bboss mvc拦截器介绍
1.1 bboss mvc的拦截器接口为:
org.frameworkset.web.servlet.HandlerInterceptor
1.2 bboss mvc提供了页面访问控制的基础抽象类,这个类实现了HandlerInterceptor接口:
org.frameworkset.web.interceptor.AuthenticateInterceptor
AuthenticateInterceptor提供了抽象方法:
protected abstract boolean check(HttpServletRequest request, HttpServletResponse response, HandlerMeta handlerMeta);
参数说明:前两个参数是url请求提供了jsp请求对象request和请求响应对象response,第三个参数是mvc请求控制器的元数据信息handlerMeta,通过这个对象用户可以获取到控制的相关定义信息。
返回值说明:返回boolean值,如果是true表示允许访问,为false表示不允许访问。如果验证通过时,还可以将用户会话信息以特定的key值对方式存储到request的attribute中,以便控制器方法中方便地获取用户会话信息;如果验证不通过那么则跳转到用户指定的页面,同时会将用户当前请求的页面信息(页面路径,页面参数)转交给失败跳转页(一般是登陆页面),当登陆通过后,任然允许用户获取这些信息转向到需要访问的页面。
1.3 通过继承AuthenticateInterceptor类并实现其中的抽象check方法用户可以非常方便地实现自己的访问控制拦截器
1.4 用户实现了自己的访问控制拦截器后,还需要在bboss-mvc.xml中配置访问控制拦截和器拦截页面规则(可以非常方便地配置需要拦截的url请求和不需要拦截的url请求,如果不指定这些规则,就拦截所有的url请求方法,这里的url请求指的是mvc控制url请求)。
下面举例说明
2.实现自己的访问控制拦截器
2.1 访问控制拦截器定义
/** * Copyright 2008 biaoping.yin * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You may obtain a copy of the License at * * http://www.apache.org/licenses/LICENSE-2.0 * * Unless required by applicable law or agreed to in writing, software * distributed under the License is distributed on an "AS IS" BASIS, * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. * See the License for the specific language governing permissions and * limitations under the License. */ package org.frameworkset.web.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.frameworkset.web.servlet.handler.HandlerMeta; /** * <p> * MyFirstInterceptor.java * </p> * <p> * Description: * </p> * <p> * bboss workgroup * </p> * <p> * Copyright (c) 2009 * </p> * * @Date 2011-5-31 * @author biaoping.yin * @version 1.0 */ public class MyFirstInterceptor extends AuthenticateInterceptor{ @Override protected boolean check(HttpServletRequest request, HttpServletResponse response, HandlerMeta handlerMeta) { String name = request.getParameter("name"); if(name != null && name.equals("test")) return false; return true; } }
这个访问控制拦截器逻辑非常简单,直接通过name参数值来判断页面是否可以访问,如果name有值并且值为test那么就阻止用户继续访问,否则允许用户访问。
2.2 访问控制拦截器及拦截规则配置
bboss-mvc.xml文件中找到如下内容(如果没有就加进去,这里可以配置多个全局拦截器):
<!-- 配置全局控制器方法拦截器 --> <property name="org.frameworkset.web.servlet.gloabel.HandlerInterceptors" > <list componentType="bean"> ............... </list> </property>
找到后将访问控制拦截器配置进去:
<!-- 配置全局控制器方法拦截器 --> <property name="org.frameworkset.web.servlet.gloabel.HandlerInterceptors" > <list componentType="bean"> <!-- 配置认证检查拦截器 --> <property class="org.frameworkset.web.interceptor.MyFirstInterceptor"> <!-- 配置认证检查拦截器拦截url模式规则 --> <property name="patternsInclude"> <list componentType="string"> <property value="/**/*.do"/> </list> </property> <!-- 配置认证检查拦截器不拦截url模式规则 --> <property name="patternsExclude"> <list componentType="string"> <property value="/*.html"/> </list> </property> <property name="redirecturl" value="/login.jsp"/> </property> </list> </property>
这里需要说明一下:
patternsInclude-用来指定需要拦截的url请求规则列表,可以是通配符,也可以是具体的地址
patternsExclude-用来指定不需要拦截的url请求规则列表,可以是通配符,也可以是具体的地址
redirecturl-用来指定验证失败时需要跳转的页面,例如/login.jsp,前面带/表示这个地址是相对于应用上下文的地址,当前请求的页面信息(页面路径,页面参数)转交给失败跳转页(一般是登陆页面),当登陆通过后,任然允许用户通过获取这些信息转向到需要访问的页面(跳不跳由用户自己决定)。
如果patternsInclude和patternsExclude都没有指定,那么默认拦截所有的控制方法请求。patternsExclude指定的规则优先级要高些,只要匹配上这个规则那么页面通通放行。
ok,就这么简单,呵呵,本文参考bbossgroups 3.2版本功能编写,适用3.2及后续版本。