WEB应用的权限问题困扰了我很久,一直没有找到合适的方法去处理。看了看各种授权模型后都有点深奥,一时间不能完全消化。特别是Spring的ACEGI安全机制,真是麻烦。
学了拦截器后,才发现可以用了处理权限问题。
首先需要明白哪些地方需要考虑安全问题,这是问题的根本。
1、JSP页面
a. 把JSP页面按照级别划分。
b. 创建admin文件夹,user文件夹等。
c. 然后通过Filter对不同的文件夹进行保护,只有满足一定条件的人才可以访问对应的文件夹下的JSP页面。
2、Action
a、把项目按照模块去划分。
b、创建不同模块的XML文件和对应的package。
c、写一个Interceptor inter,拦截器里面处理对Action的权限访问,只有满足条件的人才能通过。
d、把inter配置成默认拦截器,拦截所有对Action的请求,不需要拦截的可以在XML或代码里声明。
3、页面菜单 由于有了上面的基础,最后只需要对页面菜单进行控制。
a、完全2套页面,2套菜单。
b、一套页面,然后在页面上判断级别,输出不同的菜单。
通过拦截器和过滤器的使用,可以实现权限控制了。
关于角色的处理还在研究中