JSP用户权限管理控制。关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子
先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role Based Access Control) 的相关文章,虽然已经是个老话题了 , 但如果要在一个大的项目中实现权限控制的话,最好还是按照这些文章中的设计去逐步实现
以下的设计只是一个简单的控制,可以应用在一些小成本的项目中也可能不是最好的解决方法,但旨在与大家交流及共享各位见笑,闲话少续,言归正传
我的设计思路是这样的:
1, 管理员用户表中有个字段专门记录每个用户所拥有的权限
2, 权限和文件名对应,比如有个权限的名称叫新闻编辑,而与此编辑权限对应的文件有: News_add.jsp,News_del.jsp,News.action 等,他们之间是一对多的关系如下图:
如果还不明白,请继续往下看:我的想法是这样的 比如 a 用户如果有新闻编辑的权限,那么在 a 用户记录权限的字段里就应该记录 New_add.jsp,News_del.jsp,News.acion 这些值
3 ,那么具体怎么对资源进行控制呢?首先在用户登陆后,将用户的所以信息以对象的形式放入 Session 中如将用户对象 auser 放入到 session 中,则可用类似
AdminUser adminuser = (AdminUser) session.getAttribute(“auser”)
adminuser.getUserPopedom()
的方法将该用户所拥有的权限字符取出来,我们这里取出来的字符会是 New_add.jsp,News_del.jsp,News.acion 那么在需要做控制的页面首先利用
String url = servletRequest.getRequestURI();
url = url.substring(url.lastIndexOf(“/”) + 1, url.length());
取出当前页的文件名,再将此文件名与该用户的权限字符做比较,如果该文件名在权限字符中可以找到,则表明该用户拥有此页面操作的权限
下面把源代码贴出来 按照代码再加点解释
1 )首先建立管理用户表,其中 UserPopedom 记录用户的权限字符,其实也就是一些 JSP 或者 ACTION 的文件名:
CREATE TABLE [dbo].[AdminUser] (
[UserID] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
[UserName] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
[UserPass] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
[UserPopedom] [text] COLLATE Chinese_PRC_CI_AS NULL
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]
2 )按照上面的表格建立该用户的对象
package com.wake.bean;
public class AdminUser {
private String UserID;
private String UserName;
private String UserPass;
private String UserPopedom;
public String getUserID() {
return UserID;
}
public void setUserID(String userID) {
UserID = userID;
}
public String getUserName() {
return UserName;
}
public void setUserName(String userName) {
UserName = userName;
}
public String getUserPass() {
return UserPass;
}
public void setUserPass(String userPass) {
UserPass = userPass;
}
public String getUserPopedom() {
return UserPopedom;
}
public void setUserPopedom(String userPopedom) {
UserPopedom = userPopedom;
}
}
3 )对整个后台的控制我这里分为了两部分,一部分是栏目的显示控制,一部分是资源(页面)的操作控制
其中栏目的显示控制解释为:以新闻栏目为例,如果某用户没有新闻栏目的任何管理权限(增改删申等),那么在后台的管理菜单中将不显示新闻栏目否则,只要某用户拥有其中任何一个权限,新闻栏目则显示这里要掌握的要领是,所有和新闻权限相关的页面命名必须以 News 打头,这样将来决定显示与否就以该用户的权限字符中是否能找到 News 为依据该功能的实现我写了 Bean 来判断如下:
package com.wake.util;
import java.util.Map;
import com.opensymphony.xwork.ActionContext;
import com.wake.bean.AdminUser;
public class PopedomValidate {
public static boolean UserPopedomValidate(String pstr){
Map session = ActionContext.getContext().getSession();
AdminUser auser = (AdminUser)session.get(“auser”);
if(auser==null||auser.equals(“”)){
return false;
}
else{
if(auser.getUserPopedom().indexOf(pstr)!=-1)
return true;
}
return false;
}
}
在页面中使用如下判断(我是在 WEBWORK 中实现),也可在 JSP 中直接调用!
<%@ taglib uri = “webwork” prefix = “ww” %>
< ww:bean com.wake.util.PopedomValidate’” />
< ww:if test = ‘#pd.UserPopedomValidate(“News”)’ >
新闻栏目 < br >
</ ww:if >
对于资源(页面)的操作控制我是使用 Filter 来进行控制的, Filter 源码如下
package com.wake.util;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import com.wake.bean.AdminUser;
/**
* @author Administrator
*
*/
public class PopedomControl extends HttpServlet implements Filter {
/**
*
*/
private FilterConfig filterConfig;
private static final long serialVersionUID = -4275105240038370264L;
/*
* (非 Javadoc )
*
* @see javax.servlet.Filter#init(javax.servlet.FilterConfig)
*/
public void init(FilterConfig arg0) throws ServletException {
}
/*
* (非 Javadoc )
*
* @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,
* javax.servlet.ServletResponse, javax.servlet.FilterChain)
*/
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain filterChain) {
HttpServletRequest servletRequest = (HttpServletRequest) request;
HttpServletResponse servletResponse = (HttpServletResponse) response;
HttpSession session = servletRequest.getSession();
// 获取当前页面文件名
String url = servletRequest.getRequestURI();
url = url.substring(url.lastIndexOf(“/”) + 1, url.length());
try {
// 排除后台不作权限控制的页面名
String exclude= “adminlogin.action,login.jsp,Message.jsp,loginout.jsp”;
if(exclude.indexOf(url)==-1){
// 获取网站访问根目录
String accessPath = servletRequest.getContextPath();
// 用当前页面文件名与用户权限字符比较
AdminUser adminuser = (AdminUser) session.getAttribute(“auser”);
if (adminuser == null) {
servletResponse.sendRedirect(accessPath + “/admin/login.jsp”);
}else if(adminuser.getUserPopedom().indexOf(url)==-1){
servletResponse.sendRedirect(accessPath + “/admin/Message.jsp”);
}
}
} catch (Exception sx) {
sx.printStackTrace();
}
try {
filterChain.doFilter(request, response);
} catch (ServletException sx) {
filterConfig.getServletContext().log(sx.getMessage());
} catch (IOException iox) {
filterConfig.getServletContext().log(iox.getMessage());
}
}
public void destroy() {
}
}
WEB.XML 关于过滤器配置
< filter >
< filter-name > popedomcontrol </ filter-name >
< filter-class > com.wake.util.PopedomControl </ filter-class >
</ filter >
< filter-mapping >
< filter-name > popedomcontrol </ filter-name >
< url-pattern > /admin/* </ url-pattern >
</ filter-mapping >
这样不知道大家看明白没有
这次这个简单的权限设计从开始到完成断断续续用了将近 3 天的时间,一切都是在摸索中进行其实上面的设计思路经过优化和复杂化也可以设计为符合 RBAC 规范的例子那需要我们在用户和权限之间再加一个基本的角色进去这样用户对应的是角色,而角色去对应权限至于其它的就由我们自己自由发挥了呵呵,这次关于权限的试验就到此了,让大家见笑了