其实说起来用过滤器只能做一些是否登陆的那种判断,如果是权限相关的处理的话,会显得不够了,通常情况下,过滤器就用来处理转码就好了,具体的验证到Action以后再做,否则的出现稍微高级的一点权限,就没有办法处理了,例如现在有3个页面权限分别是1A,2A,3A,你用户过滤器就不能很好的判断了,(也许有人说,在过滤器里都写一遍判断就好,我只好说正常的项目的权限少的都有6、70种权限
一:jsp文件还是放在web-info目录下,外界无法直接访问,只能通过action
二:在BaseAction里面作权限判断,判断用户是否有访问权限,用户是第几次访问,如果是第一次,token==0,转发到主页面,如果token!=0了,证明用户已经从主页面登录过或者访问过了,可以访问其他页面了
控制客户端的访问包括在视图中嵌入保护、基于用户角色不显示部分视图、基于系统状态和错误条件不显示视图
我们可以通过配置保护视图,如使用RequestDispatcher的Servlet控制器来访问资源;
还可以借助于标准安全约束的资源保护,如通过在web.xml文件配置安全角色来限制对浏览器的直接访问;
最后,一种简单通用的做法就是把资源置于Web应用的/WEB-INF/目录下,用户不能直接访问/WEB-INF/目录及它的子目录,因此也就不能访问它下面的资源,而Servlet控制器可以做到。这是"全部可以/全部不能"的一个控制方法,因为这种方法配置的全部资源不允许被浏览器直接访问。
同步控制令牌的主要目的是防止重复提交,在对费用很敏感的页面有很大的用途。