- 处理表单数据,并添加权限的Servlet
//得到浏览器带过来的数据
String name = request.getParameter("name");
String description = request.getParameter("description");
//封装数据到Privilege对象
Privilege privilege = new Privilege();
privilege.setId(WebUtils.makeId().substring(3,10));
privilege.setName(name);
privilege.setDescription(name);
try {
PrivilegeService privilegeService = new PrivilegeService();
privilegeService.addPrivilege(privilege);
request.setAttribute("message","添加权限成功!");
} catch (Exception e) {
e.printStackTrace();
request.setAttribute("message", "添加权限失败!");
}
request.getRequestDispatcher("/message.jsp").forward(request, response);
- 效果:
查看所有权限
- 提供页面的Servlet
//得到所有的权限
PrivilegeService privilegeService = new PrivilegeService();
List<Privilege> list = privilegeService.getAllPrivileges();
request.setAttribute("list", list);
request.getRequestDispatcher("/WEB-INF/jsp/LookPrivileges.jsp").forward(request, response);
- 显示权限页面的JSP
<c:if test="${empty(list)}">
您还没添加任何的权限
</c:if>
<c:if test="${!empty(list)}">
<table border="1px">
<tr>
<td>权限名称</td>
<td>描述</td>
<td>操作</td>
</tr>
<c:forEach items="${list}" var="privilege">
<tr>
<td>${privilege.name}</td>
<td>${privilege.description}</td>
<td>
<a href="#">删除权限</a>
<a href="#">修改权限</a>
</td>
</tr>
</c:forEach>
</table>
</c:if>
- 效果:
用分帧把功能拼接
- head页面
<body >
<h1>XX管理系统</h1>
</body>
- left页面
<body>
<a href="${pageContext.request.contextPath}/LookUserUI" target="body">用户管理</a><br><br><br><br>
<a href="${pageContext.request.contextPath}/LookRolesUI" target="body">角色管理</a><br><br><br><br>
<a href="${pageContext.request.contextPath}/LookPrivileges" target="body">权限管理</a><br><br><br><br>
</body>
-
body页面是空白的!
- index页面:
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>$Title$</title>
</head>
<frameset rows="25%,*">
<frame src="head.jsp" name="head">
<frameset cols="15%,*">
<frame src="left.jsp" name="left">
<frame src="body.jsp" name="body">
</frameset>
</frameset>
</html>
- 效果:
过滤器
过滤器主要的工作就是:点击超链接时,过滤器会检测该点击者是否有权限进入页面进行操作(CURD)。
这里我们是这样子做的:uri作为key,权限作为value,构成一个Map集合。当用户请求资源的时候,判断该资源是否需要权限,如果需要权限,就判断该用户是否登陆了,如果登陆了,就判断该用户有没有权限去访问该资源!
- 在UserDao和UserService中需要添加login方法:
public User login(String username, String password) {
try {
QueryRunner queryRunner = new QueryRunner(JdbcUtils.getDataSource());
String sql = "SELECT * FROM user WHERE username=? AND password=?";
User user = (User) queryRunner.query(sql, new BeanHandler(User.class), new Object[]{username, password});
return user;
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("登陆失败了!!");
}
}
- 登陆界面的JSP
<form action="${pageContext.request.contextPath}/LoginController" method="post">
用户名:<input type="text" name="username"><br>
密码:<input type="password" name="password"><br>
<input type="submit" value="登陆"><br>
</form>
- 处理登陆的Servlet
//获取表单数据
String username = request.getParameter("username");
String password = request.getParameter("password");
UserService userService = new UserService();
User user = userService.login(username, password);
if (user != null) {
request.setAttribute("message", "恭喜你,登陆成功了!");
request.getSession().setAttribute("user", user);
} else {
request.setAttribute("message","用户名或密码出错了!!");
}
request.getRequestDispatcher("/message.jsp").forward(request, response);
Filter代码
- 完整代码:
private Map<String, Privilege> map = new HashMap<>();
public void init(FilterConfig config) throws ServletException {
map.put("/addServlet", new Privilege("增加"));
map.put("/deleteServlet", new Privilege("删除"));
map.put("/updateServlet", new Privilege("修改"));
map.put("/findServlet", new Privilege("查账单"));
}
public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) resp;
//得到用户请求的资源地址
String uri = request.getRequestURI();
System.out.println(uri);
//通过key获取值,看看能不能获取得到值【为空,就是不需要权限了】
if (map.get(uri) == null) {
chain.doFilter(request, response);
System.out.println("放行了");
return ;
}
//如果不为空,就是需要权限。需要权限的话,就判断请求者是否登陆了!
if (request.getSession().getAttribute("user") == null) {
request.setAttribute("message", "您登陆了再来操作把!");
request.getRequestDispatcher("/message.jsp").forward(request, response);
return;
}
//如果登陆了,就查一下用户的权限是否和访问资源的权限匹配
User user = (User) request.getSession().getAttribute("user");
UserService userService = new UserService();
RoleService roleService = new RoleService();
//得到用户所有的角色
List<Role> roles = userService.getUserRole(user.getId());
//通过角色,得到所有的权限【一个角色有多个权限,如果用户角色很多,那么权限也就很多了】
//此时,我们又要用集合来装载每一个角色的权限了!
Set privileges = new HashSet();
for (Role role : roles) {
List<Privilege> list = roleService.getRolePrivilege(role.getId());
privileges.addAll(list);
}
//得到的Set集合就是用户所有的权限了!!!!!
//集合的contains方法比较的是默认对象,而我们想要比较的是字符串名称,所以我们要在Privilege对象中重写equals和hashCode方法!
if (!privileges.contains(map.get(uri))) {
request.setAttribute("message", "你没有权限哟");
request.getRequestDispatcher("/message.jsp").forward(request, response);
return ;
}
//到这里,就是有权限了
chain.doFilter(request, response);
}
public void destroy() {
}
测试
总结要点
①:用户和权限的关系,由于添加用户的权限和修改用户权限的不足【在权限很多的情况下,这种情况是不好处理的】,所以我们引入了角色这个概念
②:用户与角色,角色与权限都是多对多的关系
③:按照数据库范式,我们会创建5张实体表,其中两张是代表着:用户与角色、角色与权限的关系表。角色这个字段在外键中,不能同名!
④:无论是角色、用户、权限都有这三个方法:得到所有的权限(角色、用户)、添加权限(角色、用户)、权限的id得到权限(角色、用户)对象
⑤:根据id得到具体的对象方法的意义:在web显示层只能通过id来标识着这个对象,然而在后端常常使用的是对象,于是就有了这个方法。
⑥:多对多之间的关系,在程序中并不是都要在其类上定义一个集合来记住对方。当显示用户时,需要显示角色,但是显示角色时,一般我们是不需要显示用户的信息的。因此在角色上,并不需要维护一个集合来记住所有的用户
⑦:得到用户的所有角色:传入的参数必定有具体的用户或角色,所以id必须是外界传递进来的。【得到角色的所有权限是同理】
⑧:修改用户的角色:我们先把用户的角色全部删除了,再通过外界勾选的角色进行添加(这是一个折中的办法)【修改角色的权限是同理】
⑨:在添加用户角色的时候,要把用户的id通过隐藏域传递进去给服务器端,不然是不知道要修改的是哪一个用户的角色的。【修改角色的权限是同理】
⑩:frameset和frame来实现前台的分帧,target指定在哪里显示具体的数据
①①:在init()方法中用一个Map集合,以uri作为key,以具体的权限作为值来实现过滤
①②:如果uri不需要权限,直接放行。需要权限,那么判断该用户是否登录了。没有登录就让用户去登录
①③:如果登录了,就得到用户所有的权限,权限用一个Set集合装载,遍历Set集合,使用contains()方法就可以查看出有没有对应的权限了。
①④:使用contains()方法需要在权限类上重写hashCode()和equals()方法的。因为我们比较的是字符串。