一个简单的URL访问权限校验

　　前言

　　安全框架，我们一般都会直接使用目前最流行的两大安全框架：SpringSecruity、Shiro，但是有时候我们只想使用一些简单的、底层的权限控制，不想要那么多拦截器/过滤器，这时候就需要一个简单的权限校验工具了

　　权限控制，无非就是：前端控件是否可见、是否允许请求/访问URL，本文分享一个简单的URL访问权限校验，支持/、/*、/*/a、/**等情况

　　代码

package cn.huanzi.qch.util;

import java.util.Arrays;

/**
 * 一个简单的URL访问权限校验工具类
 */
public class UrlSecurityUtil {

    /**
     * 检查requestUri是否包含在urls中
     */
    public static boolean checkUrl(String requestUri,String[] urls){
        //对/进行特殊处理
        if("/".equals(requestUri) && !Arrays.asList(urls).contains(requestUri)){
            return false;
        }

        String[] requestUris = requestUri.split("/");
        for (int i = 0; i < urls.length; i++) {
            if(check(requestUris,urls[i].split("/"))){
                return true;
            }
        }

        return false;
    }
    private static boolean check(String[] requestUris,String[] urls){
        for (int i1 = 0; i1 < requestUris.length; i1++) {
            //判断长度
            if (i1 >= urls.length){
                return false;
            }

            //处理/*、/**情况
            if("**".equals(urls[i1])){
                return true;
            }
            if("*".equals(urls[i1])){
                continue;
            }

            //处理带后缀
            if(requestUris[i1].contains(".") && urls[i1].contains(".")){
                String[] split = requestUris[i1].split("\.");
                String[] split2 = urls[i1].split("\.");

                // *.后缀的情况
                if("*".equals(split2[0]) && split[1].equals(split2[1])){
                    return true;
                }
            }

            //不相等
            if(!requestUris[i1].equals(urls[i1])){
                return false;
            }

        }

        return true;
    }
}

　　测试、效果

    public static void main(String[] args) {
        //无需权限即可访问的URL
        String[] urls = {"/a/js/*.js","/a/img/**"};

        //给用户配置的URL访问权限
        HashMap<Object, Object> user = new HashMap<>();
        user.put("username","张三");
        user.put("urls",new String[]{"/","/a/css/*/common.css","/b/b1","/c/*","/d/**"});

        //满足其中一种情况，就允许访问
        String[] urlz = {
                "/",
                "/a/css/a/common.css",
                "/a/css/a/a1/common.css",
                "/a/js/layui.js",
                "/a/js/layui.css",
                "/a/img/a/a.jpg",
                "/a/img/a1.png",
                "/b/b1",
                "/b/b2",
                "/c/c1",
                "/c/c1/c2",
                "/d/d1/d2",
        };
        for (String url : urlz) {
            boolean flag = UrlSecurityUtil.checkUrl(url,urls) ||
                    UrlSecurityUtil.checkUrl(url,(String[])user.get("urls"));
            System.out.println(url+"，"+(flag ? "允许访问！" : "无权访问..."));
        }
    }

　　后记

　　有了基础的URL权限控制后，可以配置成一个权限key对应多个URL，然后把权限key配给用户：

{
    "ROLE_SA":{
        "/a/a1",
        "/b/*",
    },
    "ROLE_USER":{
        "/c/c1",
        "/d/*",
    }
}

　　有了权限key基础后，可以配置成一个角色对应多个权限key，然后把角色配给用户：

{
    "部门经理":{
        "ROLE_SA",
        "ROLE_USER",
    },
    "普通员工":{
        "ROLE_USER",
    }
}

　　万丈高楼平地起，在这些基础，可以进阶一套我们自己的安全框架！