用定制标签库和配置文件实现对JSP页面元素的访问控制

原创 2005年01月02日 12:47:00
控制客户端访问是开发一个基于B/S的架构的系统的开发者必须考虑的问题。jsP或SERVLET规范的基于配置文件的安全策略对资源的控制是以文件为单位的,即只可以定义某个视图全部可以或全部不能被访问。一个比较复杂的系统往往要要求对视图的一部分(如jsP页面里的一个按钮)提供访问控制,只允许被某种角色的用户访问。如果采用可编程的安全策略,因为对用户角色和操作的定义在开发时不能定义,而且这种策略加大了程序员的工作量,它可能不是一种好的办法。

       我采用定制标签库和和配置文件来解决这个问题:把要权限控制的jsP页面元素如BUTTON,作为标签的内容。为受保护的内容起一个唯一的名称,把这个名称作为标签的一个属性。某个角色对某个页面元素或一组页面元素是否有权限,在XML配置文件中描述。

 

       例如,下面的jsP页面有“详细”和“修改”两个按钮。 

<%@ taglib uri="http://mytag" prefix="custTag" %>

<html>

<head>

<title>test</title>

</head>

<body >

<form name="form1" >

   <table width="600" border="0" cellspacing="0" cellpadding="2" >

      <tr>

       <td>

            <custTag:jspSecurity elementName="employeedetail" >

              <input type="button" name="detail"  value="详细" >

            </custTag:jspSecurity>

            <custTag:jspSecurity elementName="employeemodify" >

              <input type="button" name="modify"  value="修改" >

            </custTag:jspSecurity>

        </td>

      </tr>

</table>

<br>

</form>

</body>

 

       下面XML配置文件内容表示对角色为common的用户,只对名为employeedetail 的页面元素即“详细”按钮有权限,对角色为“admin”的用户,对名为employeedetail 和employeemodify的页面元素即两个按钮都有权限。

<?xml version="1.0" encoding="GB2312"?>

<security>

<htmlElement name="employeedetail" >

<roleName name="common" />

<roleName name="admin" />

</htmlElement>

<htmlElement name="employeemodify" >

<roleName name="admin" />

</htmlElement>

</security>

 

       定制标签类jspSecurityTag继承了BodyTagSupport类。BodyTagSupport有一个变量bodyContent指向起始标志和结束标志之间的内容。jspSecurityTag的私有静态变量roleList保存从XML文件中取到角色和页面元素的对应集合,私有变量ElementName对应页面元素的名称。当解析该定制标签时,首先先取到页面元素的名称,再取到当前用户的角色,如果角色有该页面元素的权限,就显示标签正文(即页面元素),否则不显示。

 

Pagekage com.presentation.viewhelper.jspSecurityTag;

 

import javax.servlet.jsp.tagext.*;

import javax.servlet.jsp.*;

import java.util.*;

import org.xml.sax.*;

import org.xml.sax.helpers.*;

import org.w3c.dom.*;

import java.io.*;

import javax.xml.parsers.*;

 

public class jspSecurityTag extends BodyTagSupport {

  //保存从XML文件中取到角色和页面元素的对应集合

  private static ArrayList roleList;

  //页面元素的名称

  private String elementName;

 

  public void setElementName(String str)

  {

    this.elementName=str;

  }

 

  public int doAfterBody() throws jspException{

    if(roleList==null)

    {

      roleList=getList();

    }

    try{

        //如果认证通过就显示标签正文,否则跳过标签正文,就这么简单

        if(isAuthentificated(elementName))

        {

          if(bodyContent != null){

            jspWriter out=bodyContent.getEnclosingWriter();

            bodyContent.writeOut(out);

          }else

          {

          }

        }

    }catch(Exception e){

      throw new jspException();

    }

    return SKIP_BODY;

  }

  //从XML配置文件中取到角色和页面元素的对应,保存到静态的ArrayList

  private ArrayList getList()

  {

    documentBuilderFactory dbf =

        documentBuilderFactory.newInstance();

    documentBuilder db = null;

    document doc=null;

    NodeList childlist = null;

    String elementName;

    String roleName;

    int index;

    ArrayList theList = new ArrayList();

 

    try{

      db = dbf.newdocumentBuilder();

    }catch(Exception e)

    {

      e.printStackTrace();

    }

    try{

      doc = db.parse(new File("security.xml"));

    }catch(Exception e)

    {

      e.printStackTrace();

    }

    //读取页面元素列表

    NodeList elementList = doc.getElementsByTagName("htmlElement");

    for(int i=0;i<elementList.getLength();i++)

    {

      Element name = ((Element)elementList.item(i));

      //页面元素的名称

      elementName = name.getAttribute("name");

      //该页面元素对应的有权限的角色的列表

      NodeList rolNodeList = ((NodeList)name.getElementsByTagName("roleName"));

      for(int j=0;j<rolNodeList.getLength();j++)

      {

        //有权限的角色的名称

        //roleName = ((Element)rolNodeList.item(j)).getNodevalue();

        roleName = ((Element)rolNodeList.item(j)).getAttribute("name");

        theList.add(new ElementAndRole(elementName,roleName));

      }

    }

    return theList;

  }

 

  //检查该角色是否有该页面元素的权限

  private boolean isAuthentificated(String elementName)

  {

String roleName = "";

//在用户登陆时把该用户的角色保存到SESSION中,这里只是直接从SESSION中取用//户角色。

roleName=this.pageContext.getSession().getAttribute("rolename”); 

// roleList包含elementName属性为elementName,roleName属性为roleName的//ElementAndRole对象,则该角色有该页面元素的权限

     if(roleList.contains(new ElementAndRole(elementName,roleName)))

          {

               return true;

          }

    }

    return  false;

  }

  //表示角色和页面元素的对应的关系的内部类

  class ElementAndRole{

    String elementName;

    String roleName;

    public ElementAndRole(String elementName,String roleName)

    {

      this.elementName=elementName;

      this.roleName=roleName;

    }

    public boolean equals(Object obj)

    {

      return(((ElementAndRole)obj).elementName.equals(this.elementName)&&((ElementAndRole)obj).roleName.equals(this.roleName));

    }

  }

}

在标签库能被jsP页面使用前,要做以下三个步骤

1、  在jsP页面中包括一个taglib元素,确定需要加载到内存的标签库。前面的jsP文件的第一行:<%@ taglib uri="http://mytag" prefix="custTag" %>做的就是这件事。

2、  在配置文件web.xml中使用taglib元素确定TLD文件的位置。在web.xml中增加:

  <taglib>

    <taglib-uri>http://mytag<;/taglib-uri>

    <taglib-location>

       /WEB-INF/mytag.tld

    </taglib-location>

  </taglib>

3、TLD文件必须使用taglib元素标识每个定制标签极其属性。

下面是使用这个标签库对应的TLD文件

<?xml version="1.0" encoding="ISO-8859-1" ?>

<!DOCTYPE taglib

 PUBLIC "-//Sun Microsystems, Inc.//DTD jsP Tag Library 1.1//EN"

 "http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">

<taglib>

  <tlibversion>1.0</tlibversion>

  <jspversion>1.1</jspversion>

  <shortname>myTag</shortname>

  <uri/>

  <tag>

    <name>jspSecurity</name>

    <tagclass>com.presentation.viewhelper.jspSecurityTag</tagclass>

    <info>

       jspSecurityTag

    </info>

    <attribute>

       <name>elementName</name>

       <required>true</required>

       <rtexprvalue>true</rtexprvalue>

    </attribute>

  </tag>

</taglib>

用定制标签库和配置文件实现对JSP页面元素的访问控制

控制客户端访问是开发一个基于B/S的架构的系统的开发者必须考虑的问题。JSP或SERVLET规范的基于配置文件的安全策略对资源的控制是以文件为单位的,即只可以定义某个视图全部可以或全部不能被访问。全文...
  • zaowei21
  • zaowei21
  • 2007年05月10日 00:46
  • 362

jsp页面使用C标签,需要在页面引入c标签库

taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
  • qq_33802316
  • qq_33802316
  • 2017年08月17日 11:02
  • 458

正确显示引入和使用Struts标签库的JSP页面

正确显示引入和使用Struts标签库的JSP页面   如果JSP文件引入struts标签库,并且采用struts标签来显示表单,有两个地方必须做出修改,否则显示JSP页面要报错。  ...
  • waj89757
  • waj89757
  • 2013年04月14日 20:48
  • 4417

Java 学习笔记13:Spring JSTL 核心标签库 使用

JSTL 核心标签库标签共有13个,功能上分为4类: 1.表达式控制标签:out、set、remove、catch 2.流程控制标签:if、choose、when、otherwise 3.循环标...
  • initphp
  • initphp
  • 2012年11月30日 18:10
  • 9333

Web访问控制

最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览。赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。老郑头毕竟...
  • Marksinoberg
  • Marksinoberg
  • 2017年07月13日 16:14
  • 7287

如何在jsp中引用标签库

如果你使用的是符合JSP   1.2/Servlet   2.3   的容器,比如Tomcat   4.x   或者更高,你就可以在JSP页面的taglib指令中使用绝对路径而不必在web.xml中指...
  • ITdavid
  • ITdavid
  • 2006年10月26日 11:30
  • 4760

对类成员访问权限的控制,是通过设置成员的访问控制属性实现的,下列不是访问控制属性的是( )

对类成员访问权限的控制,是通过设置成员的访问控制属性实现的,下列不是访问控制属性的是(    )  正确答案: D   你的答案: D (正确) 公有类型 私...
  • chengonghao
  • chengonghao
  • 2016年07月15日 20:21
  • 1010

Spring学习之使用注解配置AOP

Spring学习之使用注解配置AOP前言在前面的学习中,基本了解了AOP的概念,以及在使用原始的方法在Spring中配置AOP,不过在前面我们也看到了,通过编程的方式来实现AOP是比较繁琐,而且扩展性...
  • xuhuanfeng232
  • xuhuanfeng232
  • 2017年07月15日 10:31
  • 165

谈谈自己对java访问控制的理解

之前一直没对这块深究,觉得看看就可以了,现在在去看看时,居然被卡在了protected这个控制符上了。   public:这个比较好理解,是完全对外开放的。   private:外类无法访问,...
  • c365666025
  • c365666025
  • 2013年02月26日 09:52
  • 179

使用for循环对数组进行排序[冒泡法]

using System;using System.Collections.Generic;using System.Text;using System.Collections;namespace l...
  • longjun1627
  • longjun1627
  • 2007年12月15日 11:08
  • 1296
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用定制标签库和配置文件实现对JSP页面元素的访问控制
举报原因:
原因补充:

(最多只允许输入30个字)