struts2 检查权限拦截器答案

【问题标题】：struts2 check permission interceptorstruts2 检查权限拦截器
【发布时间】：2023-03-08 03:21:01
【问题描述】：

在我当前的 struts2 + spring web 应用程序中，我的自定义 userSessionInterceptor 运行良好。我现在也想开始强制执行用户角色。我做了很多在线研究，似乎有很多方法可以做到这一点，例如异常，发送重定向

最合适的方法是什么？我已经在用户会话中保存了用户角色，并且检测和发现错误没有问题。我唯一需要决定的是当权限不正确时如何应对。

在拦截器中，我知道我可以返回“xxx”并执行“xxx”操作。但是，我想要实现的是，当用户尝试做他们没有权限的事情时，会显示一条消息。我假设我可以返回上一页并在 url 中添加一个参数。

有什么建议吗？

谢谢

【问题讨论】：

没有“最合适”的方法；这取决于您的需求。存储请求很容易，显示消息取决于您实际想要如何处理它。重定向到“拒绝访问”页面是最简单的。
谢谢。确切地说，使用权限错误url参数将其重定向回上一页的最佳方法是什么？
如果您的应用程序允许任何安全 API，我强烈建议您选择 Spring security 或 Apache Shrio，这两个框架都会满足您所说的所有要求

标签： java spring jsp struts2 struts

【解决方案1】：

这是一个示例程序。

RoleInterceptor.java

package com.sample.common.interceptor;

import javax.servlet.http.HttpSession;

import org.apache.struts2.ServletActionContext;

import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.Interceptor;
import com.opensymphony.xwork2.util.ValueStack;

public class RoleInterceptor implements Interceptor {

    private static final long serialVersionUID = 5031826078189685536L;

    @Override
    public void init() {

    }

    @Override
    public void destroy() {

    }

    @Override
    public String intercept(ActionInvocation actionInvocation) {

        String result = null;
        try {
            ActionContext actionContext = actionInvocation
                    .getInvocationContext();

            ValueStack vStack = actionContext.getValueStack();
            HttpSession httpSession = ServletActionContext.getRequest()
                    .getSession();

            StringBuilder actionUrl = new StringBuilder(actionInvocation
                    .getProxy().getNamespace());
            actionUrl.append("/");
            actionUrl.append(actionInvocation.getProxy().getActionName());

            if (httpSession != null) {

                boolean hasPermission = true; // if the role has the permission

                if (hasPermission) {

                    result = actionInvocation.invoke();

                } else {

                    vStack.set("userMsg",
                            "You are not authorized to access this link");
                    result = "user.unauthorized";
                }
            } else {

                vStack.set("userMsg", "Please login to your account");
                result = "user.login";
            }

        } catch (Exception e) {
            e.printStackTrace();
        }

        return result;

    }

}

struts.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
"http://struts.apache.org/dtds/struts-2.0.dtd">
<struts>
    <package name="userRoleInterceptor">
        <interceptors>
            <interceptor name="userRole"
                class="com.sample.common.interceptor.RoleInterceptor" />
        </interceptors>
    </package>
    <package name="user" namespace="/user" extends="struts-default, json-default, userRoleInterceptor">
        <action name="user_details" method="getUserDetails"
            class="com.sample.user.web.action.User">
            <interceptor-ref name="userRole"/>
            <interceptor-ref name="store">
                <param name="operationMode">RETRIEVE</param>
            </interceptor-ref>
            <result name="success">userDetails.jsp</result>
            <result name="input">/common/error.jsp</result>
            <result name="busy" type="redirectAction" >/common/busy.jsp</result>
            <result name="error" type="redirectAction" >/common/test.jsp</result>
            <result name="user.login" type="redirectAction" >/common/login.jsp</result>
            <result name="user.unauthorized" type="redirectAction" >/common/unauthorizedUser.jsp</result>
        </action>
    </package>
</struts>

【讨论】：