14

我正在为我的 Web 应用程序使用带有 Spring Security 的 Spring-MVC。它包括用户注册页面和私人用户面板。我目前使用以下 URL 模式设置它:

  • whatever/myapp/login用户登录
  • whatever/myapp/register?step=1开始注册
  • whatever/myapp/account/**私人区域视图(页面)
  • whatever/myapp/pending注册后流程完成时显示的视图
  • whatever/myapp/blocked帐户屏蔽视图
  • whatever/myapp/register/retry如果注册失败,允许重试

本质上,以下这些 URL 应该需要用户身份验证,即需要登录:

  • whatever/myapp/account/**(私人区域页面)
  • whatever/myapp/pending(此页面有一个计时器设置为重定向到 /account/home)
  • whatever/myapp/register/retry

使用 Spring 安全性实现这一点非常简单。但是,无论通过 Spring 安全性如何进行用户身份验证,私有区域页面应该是否可以访问,这取决于用户当前的帐户状态(存储在我的数据库中)。

更具体地说:如果用户尝试访问私人区域 ( /account/**) 中的任何内容,则应根据状态向他显示适当的视图(重定向到适当的页面)。我定义了这些状态:

  • suspended- 与待定视图有关
  • enabled- 允许完全访问
  • disabled- 这里不相关
  • retry_allowed- 与重试视图有关
  • blocked- 与帐户屏蔽视图有关

目前,我有一个 MVC 拦截器设置/account/**,用于检查用户状态,并重定向到适当的页面,但不知何故,我觉得这不是真正理想或适当的解决方案,因为我面临着奇怪的行为,比如多个控制器调用...而且我也不太确定何时在方法内返回true/ 。这是拦截器的代码片段: falsepreHandle()

@Override
public boolean preHandle(
    HttpServletRequest request, 
    HttpServletResponse response,
    Object arg2) 
    throws Exception {

IPanelUser pUser =  (IPanelUser) SecurityContextHolder.getContext()
        .getAuthentication().getPrincipal();

// check principal first and then load from DB
// "suspended" is initial status upon registration
if(pUser.getCustomer().getStatus() == CustomerStatus.Suspended.getCode()) {

    // if suspended, load from DB and update status
    Customer customer = this.customerService.getUserByUsername(pUser.getUsername());
    if(customer != null)
        pUser.getCustomer().setStatus(customer.getStatus());

    // still suspended? redirect to pending
    if(pUser.getCustomer().getStatus() == CustomerStatus.Suspended.getCode()) {
        response.sendRedirect("../pending");
        return false;
    }
}

if(pUser.getCustomer().getStatus() == CustomerStatus.Blocked.getCode()) {

    // redirect to blocked page
    response.sendRedirect("../blocked");
    SecurityContextHolder.clearContext();
    return false;
}

if(pUser.getCustomer().getStatus() == CustomerStatus.AllowRetry.getCode()) {

    // redirect to CC submission page
    response.sendRedirect("../register/retry");
    return false;
}

if(pUser.getCustomer().getStatus() == CustomerStatus.Enabled.getCode() ||
   pUser.getCustomer().getStatus() == CustomerStatus.Disabled.getCode()) {

    // do nothing
}

return true;
}

.

这是一种有效的方法吗?任何替代建议?

4

1 回答 1

22

所有选项都是有效的,这取决于您想要的抽象级别。

在 aFilter中,您只能访问HttpServletRequest和对象,因此您与APIHttpServletResponse非常耦合。Servlet您也无法(直接)访问所有出色的 Spring 功能,例如返回要呈现的视图或ResponseEntity.

在 aHandlerInterceptor中,它又是一样的。您可以直接在preHandle()您无权访问的地方进行重定向或请求处理,ModelAndView或设置您签入的标志postHandle()。您可以访问ModelAndView但不能访问其他一些 Spring MVC 功能。

Spring Security 是一个不错的选择,但我发现它有很多我不太喜欢的配置。

我最喜欢的最后一种选择是使用 AOP(您也可以使用 Spring Security 或 Shiro 来做到这一点)。您创建一个注释,@Private然后注释您的@Controller处理程序方法。您使用 AOP 来建议这些方法。该建议基本上检查某些会话或请求属性的标志(授权与否)。如果允许,则继续执行处理程序方法,如果不允许,则抛出UnauthorizedException(或类似的)。然后,您还为该异常声明一个@ExceptionHandler,您可以完全控制响应的生成方式:a ModelAndView(和相关的)、a ResponseEntity、用 注释处理程序@ResponseBody、直接编写响应等。我觉得您有更多的控制权, 如果你想要的话。

于 2013-10-10T17:07:32.433 回答