日历

2008 7.7 Mon
  12345
6789101112
13141516171819
20212223242526
2728293031  
«» 2008 - 7 «»

日志分类

存 档

文章搜索

日志文章

2007年11月19日 18:45:23

JSP权限控制(二)

1 )首先建立管理用户表,其中 UserPopedom 记录用户的权限字符,其实也就是一些 JSP 或者 ACTION 的文件名:
CREATE TABLE [dbo].[AdminUser] (
  [UserID] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
  [UserName] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
  [UserPass] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
  [UserPopedom] [text] COLLATE Chinese_PRC_CI_AS NULL
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]
2 )按照上面的表格建立该用户的对象
package com.wake.bean;


public class AdminUser {

private String UserID;
private String UserName;
private String UserPass;
private String UserPopedom;

public String getUserID() {
    return UserID;
}
public void setUserID(String userID) {
    UserID = userID;
}
public String getUserName() {
    return UserName;
}
public void setUserName(String userName) {
    UserName = userName;
}
public String getUserPass() {
    return UserPass;
}
public void setUserPass(String userPass) {
    UserPass = userPass;
}
public String getUserPopedom() {
    return UserPopedom;
}
public void setUserPopedom(String userPopedom) {
    UserPopedom = userPopedom;
}
}
3 )对整个后台的控制我这里分为了两部分,一部分是栏目的显示控制,一部分是资源(页面)的操作控制。
其中栏目的显示控制解释为:以新闻栏目为例,如果某用户没有新闻栏目的任何管理权限(增、改、删、申等),那么在后台的管理菜单中将不显示新闻栏目。否则,只要某用户拥有其中任何一个权限,新闻栏目则显示。这里要掌握的要领是,所有和新闻权限相关的页面命名必须以 News 打头,这样将来决定显示与否就以该用户的权限字符中是否能找到 News 为依据。该功能的实现我写了 Bean 来判断。如下:
package com.wake.util;



import java.util.Map;



import com.opensymphony.xwork.ActionContext;

import com.wake.bean.AdminUser;



public class PopedomValidate {



public static boolean UserPopedomValidate(String pstr){

    Map session = ActionContext.getContext().getSession();

    AdminUser auser = (AdminUser)session.get("auser");

    if(auser==null||auser.equals("")){

        return false;

    }

    else{

        if(auser.getUserPopedom().indexOf(pstr)!=-1)

          return true;

    }

    return false;

}



}
在页面中使用如下判断(我是在 WEBWORK 中实现),也可在 JSP 中直接调用!

<%@ taglib uri = "webwork" prefix = "ww" %>
< ww:bean name = "'com.wake.util.PopedomValidate'" id = "pd" />
< ww:if test = '#pd.UserPopedomValidate("News")' >
新闻栏目 < br >
</ ww:if >

对于资源(页面)的操作控制我是使用 Filter 来进行控制的, Filter 源码如下。



package com.wake.util;



import java.io.IOException;



import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;



import com.wake.bean.AdminUser;



/**

* @author Administrator

*

*/

public class PopedomControl extends HttpServlet implements Filter {

/**

*

*/

private FilterConfig filterConfig;

private static final long serialVersionUID = -4275105240038370264L;



/*

* (非 Javadoc

*

* @see javax.servlet.Filter#init(javax.servlet.FilterConfig)

*/

public void init(FilterConfig arg0) throws ServletException {

}



/*

* (非 Javadoc

*

* @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,

*   javax.servlet.ServletResponse, javax.servlet.FilterChain)

*/

public void doFilter(ServletRequest request, ServletResponse response,

    FilterChain filterChain) {



  HttpServletRequest servletRequest = (HttpServletRequest) request;

  HttpServletResponse servletResponse = (HttpServletResponse) response;

  HttpSession session = servletRequest.getSession();

  // 获取当前页面文件名

  String url = servletRequest.getRequestURI();

  url = url.substring(url.lastIndexOf("/") + 1, url.length());

 

  try {

    // 排除后台不作权限控制的页面名

    String exclude= "adminlogin.action,login.jsp,Message.jsp,loginout.jsp";

    if(exclude.indexOf(url)==-1){

    // 获取网站访问根目录

    String accessPath = servletRequest.getContextPath();

    // 用当前页面文件名与用户权限字符比较

    AdminUser adminuser = (AdminUser) session.getAttribute("auser");

    if (adminuser == null) {

        servletResponse.sendRedirect(accessPath + "/admin/login.jsp");

    }else if(adminuser.getUserPopedom().indexOf(url)==-1){

        servletResponse.sendRedirect(accessPath + "/admin/Message.jsp");

    }

    }

  } catch (Exception sx) {

    sx.printStackTrace();

  }

 

  try {

    filterChain.doFilter(request, response);

  } catch (ServletException sx) {

    filterConfig.getServletContext().log(sx.getMessage());

  } catch (IOException iox) {

    filterConfig.getServletContext().log(iox.getMessage());

  }

}



public void destroy() {

}



}

WEB.XML 关于过滤器配置

< filter >
  < filter-name > popedomcontrol </ filter-name >
  < filter-class > com.wake.util.PopedomControl </ filter-class >
</ filter >
< filter-mapping >
  < filter-name > popedomcontrol </ filter-name >
  < url-pattern > /admin/* </ url-pattern >
</ filter-mapping >



这样不知道大家看明白没有



这次这个简单的权限设计从开始到完成断断续续用了将近 3 天的时间,一切都是在摸索中进行。其实上面的设计思路经过优化和复杂化也可以设计为符合 RBAC 规范的例子。那需要我们在用户和权限之间再加一个基本的角色进去。这样用户对应的是角色,而角色去对应权限。至于其它的就由我们自己自由发挥了呵呵,这次关于权限的试验就到此了,让大家见笑了。


在评论中有位仁兄的见解也非常不错!下面就给大家看一下:建个资源文件,以数字对应文件,再进行验证。见过有一个系统曾是这样设计。

类别: 技术专栏 |  评论(0) |  浏览(1261) |  收藏
发表评论