Java Interceptor如何实现权限控制

在Java中，拦截器（Interceptor）是一种设计模式，用于在不修改原有代码的情况下，对方法调用进行拦截和处理。实现权限控制是拦截器的一个常见应用场景。以下是一个使用Spring框架中的拦截器实现权限控制的示例：

1. 创建一个拦截器类

首先，创建一个实现HandlerInterceptor接口的拦截器类。

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取当前请求的用户信息
        String username = (String) request.getSession().getAttribute("username");

        // 检查用户是否登录
        if (username == null || username.isEmpty()) {
            response.sendRedirect("/login");
            return false;
        }

        // 检查用户是否有权限访问该资源
        if (!hasPermission(username, request.getRequestURI())) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
            return false;
        }

        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        // 在请求处理之后，但在视图渲染之前执行
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 在整个请求完成之后执行
    }

    private boolean hasPermission(String username, String uri) {
        // 这里可以实现具体的权限检查逻辑
        // 例如，从数据库或缓存中查询用户的权限列表，并检查uri是否在权限列表中
        return true; // 示例中默认返回true
    }
}

2. 配置拦截器

在Spring配置文件中（如spring-mvc.xml），配置拦截器。

<mvc:interceptors>
    <mvc:interceptor>
        <mvc:mapping path="/**"/>
        <mvc:exclude-mapping path="/login"/>
        <mvc:exclude-mapping path="/register"/>
        <bean class="com.example.interceptor.AuthInterceptor"/>
    </mvc:interceptor>
</mvc:interceptors>

3. 实现权限检查逻辑

在hasPermission方法中，实现具体的权限检查逻辑。例如，可以从数据库或缓存中查询用户的权限列表，并检查请求的URI是否在权限列表中。

private boolean hasPermission(String username, String uri) {
    // 示例：从数据库中查询用户的权限列表
    List<String> permissions = userService.getUserPermissions(username);

    // 检查uri是否在权限列表中
    return permissions.contains(uri);
}

4. 用户登录和权限管理

确保在用户登录时，将用户信息存储在Session中，并在用户注销时清除Session中的用户信息。

@Controller
public class LoginController {

    @PostMapping("/login")
    public String login(@RequestParam String username, @RequestParam String password, HttpSession session) {
        // 验证用户名和密码
        if (isValidUser(username, password)) {
            session.setAttribute("username", username);
            return "redirect:/home";
        } else {
            return "login";
        }
    }

    @GetMapping("/logout")
    public String logout(HttpSession session) {
        session.invalidate();
        return "redirect:/login";
    }

    private boolean isValidUser(String username, String password) {
        // 验证用户名和密码的逻辑
        return true; // 示例中默认返回true
    }
}

通过以上步骤，你可以使用拦截器实现基本的权限控制。根据实际需求，可以进一步扩展和优化权限检查逻辑。