wake

JSP权限控制(二)

今天把源代码贴出来 按照代码再加点解释。

 

1 )首先建立管理用户表,其中 UserPopedom 记录用户的权限字符,其实也就是一些 JSP 或者 ACTION 的文件名:

CREATE TABLE [dbo].[AdminUser] (

       [UserID] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,

       [UserName] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,

       [UserPass] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,

       [UserPopedom] [text] COLLATE Chinese_PRC_CI_AS NULL

) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]

2 )按照上面的表格建立该用户的对象

package com.wake.bean;

 

public class AdminUser {

   

    private String UserID;

    private String UserName;

    private String UserPass;

    private String UserPopedom;

   

    public String getUserID() {

           return UserID;

    }

    public void setUserID(String userID) {

           UserID = userID;

    }

    public String getUserName() {

           return UserName;

    }

    public void setUserName(String userName) {

           UserName = userName;

    }

    public String getUserPass() {

           return UserPass;

    }

    public void setUserPass(String userPass) {

           UserPass = userPass;

    }

    public String getUserPopedom() {

           return UserPopedom;

    }

    public void setUserPopedom(String userPopedom) {

           UserPopedom = userPopedom;

    }

}

3 )对整个后台的控制我这里分为了两部分,一部分是栏目的显示控制,一部分是资源(页面)的操作控制。

其中栏目的显示控制解释为:以新闻栏目为例,如果某用户没有新闻栏目的任何管理权限(增、改、删、申等),那么在后台的管理菜单中将不显示新闻栏目。否则,只要某用户拥有其中任何一个权限,新闻栏目则显示。这里要掌握的要领是,所有和新闻权限相关的页面命名必须以 News 打头,这样将来决定显示与否就以该用户的权限字符中是否能找到 News 为依据。该功能的实现我写了 Bean 来判断。如下:

package com.wake.util;

 

import java.util.Map;

 

import com.opensymphony.xwork.ActionContext;

import com.wake.bean.AdminUser;

 

public class PopedomValidate {

   

    public static boolean UserPopedomValidate(String pstr){

           Map session = ActionContext.getContext().getSession();

           AdminUser auser = (AdminUser)session.get("auser");

           if(auser==null||auser.equals("")){

                  return false;

           }

           else{

                  if(auser.getUserPopedom().indexOf(pstr)!=-1)

                         return true;

           }

           return false;

    }

 

}

在页面中使用如下判断(我是在 WEBWORK 中实现),也可在 JSP 中直接调用!

<%@ taglib uri = "webwork" prefix = "ww" %>

< ww:bean name = "'com.wake.util.PopedomValidate'" id = "pd" />

< ww:if test = '#pd.UserPopedomValidate("News")' >

新闻栏目 < br >

</ ww:if >

对于资源(页面)的操作控制我是使用 Filter 来进行控制的, Filter 源码如下。

 

package com.wake.util;

 

import java.io.IOException;

 

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

 

import com.wake.bean.AdminUser;

 

/**

 * @author Administrator

 *

 */

public class PopedomControl extends HttpServlet implements Filter {

    /**

     *

     */

    private FilterConfig filterConfig;

    private static final long serialVersionUID = -4275105240038370264L;

 

    /*

     * (非 Javadoc

     *

     * @see javax.servlet.Filter#init(javax.servlet.FilterConfig)

     */

    public void init(FilterConfig arg0) throws ServletException {

    }

 

    /*

     * (非 Javadoc

     *

     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,

     *      javax.servlet.ServletResponse, javax.servlet.FilterChain)

     */

    public void doFilter(ServletRequest request, ServletResponse response,

           FilterChain filterChain) {

 

       HttpServletRequest servletRequest = (HttpServletRequest) request;

       HttpServletResponse servletResponse = (HttpServletResponse) response;

       HttpSession session = servletRequest.getSession();

       // 获取当前页面文件名

       String url = servletRequest.getRequestURI();

       url = url.substring(url.lastIndexOf("/") + 1, url.length());

      

       try {

           // 排除后台不作权限控制的页面名

           String exclude= "adminlogin.action,login.jsp,Message.jsp,loginout.jsp";

           if(exclude.indexOf(url)==-1){

              // 获取网站访问根目录

              String accessPath = servletRequest.getContextPath();

              // 用当前页面文件名与用户权限字符比较

              AdminUser adminuser = (AdminUser) session.getAttribute("auser");

              if (adminuser == null) {

                  servletResponse.sendRedirect(accessPath + "/admin/login.jsp");

              }else if(adminuser.getUserPopedom().indexOf(url)==-1){

                  servletResponse.sendRedirect(accessPath + "/admin/Message.jsp");

              }

           }

       } catch (Exception sx) {

           sx.printStackTrace();

       }

      

       try {

           filterChain.doFilter(request, response);

       } catch (ServletException sx) {

           filterConfig.getServletContext().log(sx.getMessage());

       } catch (IOException iox) {

           filterConfig.getServletContext().log(iox.getMessage());

       }

    }

 

    public void destroy() {

    }

 

}

WEB.XML 关于过滤器配置

    < filter >

       < filter-name > popedomcontrol </ filter-name >

       < filter-class > com.wake.util.PopedomControl </ filter-class >

    </ filter >

    < filter-mapping >

       < filter-name > popedomcontrol </ filter-name >

       < url-pattern > /admin/* </ url-pattern >

    </ filter-mapping >

 

这样不知道大家看明白没有

 

这次这个简单的权限设计从开始到完成断断续续用了将近 3 天的时间,一切都是在摸索中进行。其实上面的设计思路经过优化和复杂化也可以设计为符合 RBAC 规范的例子。那需要我们在用户和权限之间再加一个基本的角色进去。这样用户对应的是角色,而角色去对应权限。至于其它的就由我们自己自由发挥了呵呵,这次关于权限的试验就到此了,让大家见笑了。

posted on 2006-04-29 17:18 wake 阅读(10020) 评论(15)  编辑  收藏

Feedback

# re: JSP权限控制(二) 2006-04-29 21:20 Jonney

如果在开发过程中页面名字要改变,那岂不是很麻烦?  回复  更多评论   

# re: JSP权限控制(二) 2006-05-06 00:19 huifei

建个资源文件,以数字对应文件,再进行验证。见过有一个系统曾是这样设计。  回复  更多评论   

# re: JSP权限控制(二) 2006-05-08 10:52 bladefenix

楼主很厉害!
权限控制这个东西看似简单 实际上如果真要自己去实现还是比较复杂
幸运的是关于权限管理有很多开源方案可以使用.
  回复  更多评论   

# re: JSP权限控制(二) 2006-05-10 13:20 wake

@Jonney
我当初考虑到了这个问题,但任何一种实现方法都有它的缺陷和规则,而且这也只是一个初步的设计。其实按照二楼的那个方法就可以比较好的解决这个问题。欢迎讨论...  回复  更多评论   

# re: JSP权限控制(二) 2006-05-10 13:22 wake

@bladefenix
厉害实在不敢当,不懂的地方实在太多太多了,这几天去应聘好多基本的问题都回答错了呵呵,一起学习
  回复  更多评论   

# re: JSP权限控制(二) 2006-05-16 07:52 jenos

这样做的确很麻烦,其实可以有多个用例,管理员,浏览者等,只要进行用户角色认证之后即可用Filter来进行过滤,请求的权限了。  回复  更多评论   

# re: JSP权限控制(二) 2006-06-18 17:29 ddddf

fdgrarerew  回复  更多评论   

# re: JSP权限控制(二) 2006-08-15 10:01 fasdf

看不明白  回复  更多评论   

# re: JSP权限控制(二) 2006-10-30 23:51 kwx

嗯,看了看,可以借鉴一下!觉得二楼说的有道理,再加一个配置文件用来对应JSP文件名会更好,不过这也只是楼主的一个简单设计,就一些简单的应用还是可以参考一下的!  回复  更多评论   

# re: JSP权限控制(二) 2007-01-05 19:38 一手的小窝窝

这仿佛有问题呵呵,我之前也这样做过但是,其实,当前请求,虽然被拦截了,,但实际上它还是会把本次请求执行完成的呵.  回复  更多评论   

# re: JSP权限控制(二) 2007-08-13 21:36 haoland

以前也这样想过,但感觉这个方法有点笨,这几天正在做权限,想做一个方便实用的方法,一起提高吧.  回复  更多评论   

# re: JSP权限控制(二) 2008-03-07 09:23 七喜可乐

强,汗,又强又汗。牛人阿!  回复  更多评论   

# re: JSP权限控制(二)[未登录] 2008-06-11 15:34 knight

很好很强大,尝试中。。  回复  更多评论   

# re: JSP权限控制(二) 2008-10-21 19:23 xiaomeng

very good!  回复  更多评论   

# re: JSP权限控制(二) 2008-12-29 19:41 MM

太搓了了  回复  更多评论   



只有注册用户登录后才能发表评论。


网站导航: