使用JavaEE的ServerAuthModule模块和web.xml进行相应配置，实现对用户的权限控制

2023-03-09 13:34:26

ServerAuthModule这里不细说，可以自行百度。

重点在注释：

 <!-- 声明用于安全约束的角色 -->

    <security-role>

        <role-name>spx.main</role-name>

    </security-role>

    <security-role>

        <role-name>spx.user</role-name>

    </security-role>

    <security-constraint>

        <web-resource-collection>

            <!-- 这个名字是必须的，自定义，由工具使用，别的地方不使用 -->

            <web-resource-name>all</web-resource-name>

            <!-- 指定要受约束的资源，至少有一个。可以有多个. -->

            <url-pattern>/*</url-pattern>

            <!-- 指定受约束的方法

            如果没有<http-method>元素，所有http方法都受到约束。

            这里放置了POST方法，表示只有POST方法是受约束的。其他任何角色的人可以访问GET和其他的方法。

            但不能访问POST方法,除非通过下面<auth-constraint>的验证。

            -->

            <http-method>POST</http-method>

        </web-resource-collection>

        <!-- auth-constraint为可选 -->

        <!-- 如果没有<auth-constraint>表示所有角色都能访问POST方法，如果是<auth-constraint/>表示任何角色都不能访问POST方法 -->

        <auth-constraint>

            <!-- 可选。表示哪些角色能够在指定的资源上调用受约束的方法。这里表示只有拥有spx.user角色的人能够访问POST方法

            角色与上面<security-role>里的<role-name>对应 -->

            <role-name>spx.user</role-name>

        </auth-constraint>

    </security-constraint>

在项目中导入sam模块的jar包，将项目打成war包，放入JavaEE容器中，启动服务，如此就实现了一次URL级别的权限控制。

假设通过以上验证进入到了VerifyAuthModuleServlet的doPost方法中，

可以在doPost中加上以下

UserInfo userInfo = (UserInfo)req.getUserPrincipal();

来获取到用户信息。

还可以加上以下来判断用户是否拥有其他角色：

 if(req.isUserInRole("spx.admin")) {

            res.setStatus(200);

            res.getWriter().print(hello);

            return;

 }

注意："spx.admin"必须是web-app划分出来的角色中的一种，否则这里一直false。这里和@RolesAllowed("spx.main")有所区别，@RolesAllowed("spx.main")只需用户有该权限即可，

而没必要一定要存在于<security-role>中。

EJB中进行方法级别的权限判断

如以下无状态会话bean

@Stateless

public class HelloWorldBean implements HelloWorldLocal {

    private Logger logger = Logger.getLogger(HelloWorldBean.class.getName());

    @EJB                   //采用注解方式

    private Other other;

    @Resource

    private SessionContext sessionContext;

    @RolesAllowed("spx.user")

    public String sayHello(String name) {

        Principal principal = sessionContext.getCallerPrincipal();

        logger.info("==========EJB============="+principal.getName());

        return name+"说：你好世界！"+other.sayMe();

    }

}

@RolesAllowed判断请求的用户是否拥有此权限，如果拥有权限则可以进入方法体，不拥有则抛出EJBAccessException异常

 try{

             hello = helloWorldLocal.sayHello("jiangmeng");

 }catch (EJBAccessException e){

            res.setStatus(403);

            res.getWriter().write("{\"err\":\"403 forbidden\"}");

 }

我们可以通过捕获该异常，给客户端相应的提示。

而且我们注意到上面可以在EJB中通过SessionContext.getCallerPrincipal()来获取到用户信息。

码农公寓

相关文章