很多系统只能控制到用户的菜单权限,而不能控制到用户直接输入url地址访问某些界面的权限,这个如何控制,比如用户张三没有菜单A(菜单A的action地址是:http://localhost:8080/xxx/xxx.do)的权限,用户直接输入这个地址却能访问这个界面。目前后很多的系统都存在这样的权限问题:
下面给出几种解决方法:
1.url过滤:直接加一个filter,判断该url是否是用户直接输入的权限(通过http请求头的referer属性。如果该属性为空,则说明是直接通过url直接访问的,该操作不能进行。)。当然这里要对例如首页或者登陆页面进行放行。过滤器的部分代码如下:
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
String conString = "";
conString = req.getHeader("REFERER");//获取父url--如果不是用户直接输入的话就是先前的访问过来的页面,要是用户输入了,这个父url是不存在的。该属性常称为防盗链属性
if("".equals(conString) || null==conString){ //判断如果上一个目录为空的话,说明是用户直接输入url访问的
String servletPath = req.getServletPath();//当前请求url,去掉几个可以直接访问的页面
if(servletPath.contains("index.jsp") || servletPath.contains("login.jsp")){ //跳过index.jsp和登陆Login.jsp
chain.doFilter(request, response);
} else {
resp.sendRedirect("index.jsp");//跳回首页
}
} else {
chain.doFilter(request, response);
}
} 这种方法有一定的局限性。用户体验也不太好:如果该用户有该权限,也不能通过这种方式去访问了。
下面这种可以解决这个问题:
2.开发约定:
约定开发人员 在所有url的路径里都包含菜单id, 比如 http://localhost:8080/菜单/xxx.do这样在url过滤的地方就可以知道当前url是属于哪个菜单的 然后再看当前user有没有这个菜单的权限。
828
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
