@RequiresPermissions 控制权限的异常处理以及Ajax方式请求时返回json

参考http://www.mamicode.com/info-detail-1746942.html

例如使用到注解： 
@RequiresPermissions 来控制是否有对应权限才可以访问 
@RequiresUser 来控制是否存在用户登录状态才可以访问

想了解Shiro是如何通过注解来控制权限的，可以查看源码 AopAllianceAnnotationsAuthorizingMethodInterceptor，其构造方法中添加了几个对应的权限注解方法拦截器（这里不做详细阐述）。

用户在请求使用这些注解方式控制的方法时，如果没有通过权限校验。Shiro 会抛出如下两组类型的异常。

登录认证类异常 UnauthenticatedException.class, AuthenticationException.class 
权限认证类异常 UnauthorizedException.class, AuthorizationException.class 
（每个具体的异常对应哪个注解，大家查看源码了解一下）

言归正传，直接上代码，通过代码来说明本文目的 “做Ajax请求的时候，如果请求的URL是被注解权限控制的，在没有权限或者登陆失效的情况下，如果获得JSON方式的返回结果（如果用户没有登录，大多数都是直接跳转到登录页面了）”。

通过一个 BaseController 来统一处理，然后被其他 Controller 继承即可，对于JSON和页面跳转，我们只需要做一个Ajax判断处理即可。

代码如下：

/** * BaseController * * @author 单红宇(365384722) * @myblog http://blog.csdn.net/catoop/ * @create 2017年4月4日 */public abstract class BaseController {    /**     * 登录认证异常     */    @ExceptionHandler({ UnauthenticatedException.class, AuthenticationException.class })    public String authenticationException(HttpServletRequest request, HttpServletResponse response) {        if (WebUtilsPro.isAjaxRequest(request)) {            // 输出JSON            Map<String,Object> map = new HashMap<>();            map.put("code", "-999");            map.put("message", "未登录");            writeJson(map, response);            return null;        } else {            return "redirect:/system/login";        }    }    /**     * 权限异常     */    @ExceptionHandler({ UnauthorizedException.class, AuthorizationException.class })    public String authorizationException(HttpServletRequest request, HttpServletResponse response) {        if (WebUtilsPro.isAjaxRequest(request)) {            // 输出JSON            Map<String,Object> map = new HashMap<>();            map.put("code", "-998");            map.put("message", "无权限");            writeJson(map, response);            return null;        } else {            return "redirect:/system/403";        }    }    /**     * 输出JSON     *     * @param response     * @author SHANHY     * @create 2017年4月4日     */    private void writeJson(Map<String,Object> map, HttpServletResponse response) {        PrintWriter out = null;        try {            response.setCharacterEncoding("UTF-8");            response.setContentType("application/json; charset=utf-8");            out = response.getWriter();            out.write(JsonUtil.mapToJson(map));        } catch (IOException e) {            e.printStackTrace();        } finally {            if (out != null) {                out.close();            }        }    }}

public class WebUtilsPro {    /**     * 是否是Ajax请求     *     * @param request     * @return     * @author SHANHY     * @create 2017年4月4日     */    public static boolean isAjaxRequest(HttpServletRequest request) {        String requestedWith = request.getHeader("x-requested-with");        if (requestedWith != null && requestedWith.equalsIgnoreCase("XMLHttpRequest")) {            return true;        } else {            return false;        }    }}

下面是一个普通的 Controller

@Controller@RequestMappingpublic class PageController extends BaseController{    @RequiresUser    @RequestMapping(value="/main", method=RequestMethod.GET)    public String main(Model model){        return "main";    }    @RequiresUser    @RequestMapping(value="/getData", method=RequestMethod.POST)    @ResponseBody    public List<String> getData(Model model){        List<String> list = new ArrayList<>();        list.add("data1");        list.add("data2");        return list;    }}

当我们使用 ajax 方式去请求 /getData 时，如果用户没有登录。则会返回对应没有登录的JSON结果。 
页面在做ajax请求时候，发现用户没有登录，可能需要根据响应结果做对用的页面交互处理，而不是暴力的直接重定向到登录页面了。