B/S系统权限控制的一种简单方法

最新推荐文章于 2019-03-26 13:00:05 发布
最新推荐文章于 2019-03-26 13:00:05 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: Java语言-高级版 文章标签: security jsp class user include textbox

看了网上一些关于权限控制的帖子,越看越迷糊,什么用AOP(Aspect Oriented Programming,面向方面编程),用容器,RBAC(基于角色的访问控制方法),SSO,Jive的Proxy模式等等等等,且又是role又是group,真是头都大了,先写个简单的实现方法,以后再研究高深的。
  此方法不依赖容器 框架,适用于小系统(主要JSP页面要少于100,因为是硬编码到JSP),适用于要精确控制页面field的情况较多的系统。
  (插句话:要分清权限控制与业务逻辑,业务逻辑就是情况由系统运行时的某些条件决定,如学生管理系统中,某一学生进入系统,只能看自己的记录,因为可看的记录是由学号来决定的,所以这是业务逻辑,而又如学生不能看老师的记录,这是有学生的身份来决定的,所以这是权限控制。)
  好了,进入正题!
  建表:
  user(user信息: userID userPassword 等)
  role(role描述:roleID roleDesc)
  permission(permission描述:permissionID permissionDesc)
  user-role(user role对应关系表:userID roleID)
  role-permission(role permission对应关系表:roleID permissionID)
  user-permission(user permission对应关系表:userID permissionID)
 
  重要申明:

            1 此处role没有继承关系,只是permission的集合
            2 user-permission表只是为了方便,其数据是根据user-role role-permission两表得来,只有在user-role role-permission两表有更新的时候更新此表,并不能单独赋予user某个permission,只能赋予user一个或多个role。
            3 permission的分配,这是一个难点,很多比较复杂的权限控制系统也是因为这个才发展出来,此处把它尽量想简单,不考虑业务逻辑,以页面为视角,分两层,首先是需要控制的jsp页面,然后是需要控制的页面field(包括link,text,textbox,button等等),field这一层还有privilege之分(R和W,即可读和可写)
基本思路:进入jsp页面时,检查用户信息,查到用户有此permission就包含此代码,如果没有此permission就不包含此代码,此功能由tag来完成(不会写tag?不要紧,抄!)。看代码吧!
  1 建表(如上)
  2 建两个class(bean) (UserProfile是用户基本信息   UserPermission是permission )
    UserProfile.java:

package  com.××.××.××;
 import  java.util.Collection; 

 public   class  UserProfile {
   private  String userId;
   private  String userType;
   private  String companyNo;
   private  String companyName;
   private  String companyType;
   private  Collection userPermissions;

   public  String getUserId() {
     return  userId;
  }
   public   void  setUserId(String userId) {
     this .userId  =  userId;
  }
   public  String getUserType() {
     return  userType;
  }
   public   void  setUserType(String userType) {
     this .userType  =  userType;
  }
   public  String getCompanyNo() {
     return  companyNo;
  }
   public   void  setCompanyNo(String companyNo) {
     this .companyNo  =  companyNo;
  }
   public  String getCompanyName() {
     return  companyName;
  }
   public   void  setCompanyName(String companyName) {
     this .companyName  =  companyName;
  }
   public  String getCompanyType() {
     return  companyType;
  }
   public   void  setCompanyType(String companyType) {
     this .companyType  =  companyType;
  }
   public  Collection getUserPermissions() {
     return  userPermissions;
  }
   public   void  setUserPermissions(Collection userPermissions) {
     this .userPermissions  =  userPermissions;
  }
}

  UserPermission.java:
 package  com.××.××.××;

 public   class  UserPermission {
   private   int  permissionId;
   private  String privilege;
   public   int  getPermissionId() {
     return  permissionId;
  }
   public   void  setPermissionId( int  permissionId) {
     this .permissionId  =  permissionId;
  }
   public  String getPrivilege() {
     return  privilege;
  }
   public   void  setPrivilege(String privilege) {
     this .privilege  =  privilege;
  }
}  
  
  

  3 加两个Tag(Page与Field):
  SecurityTagForPage.java:

package  com. ** . ** .taglib;
 import  java.util. * ;

 public   class  SecurityTagForPage  extends  TagSupport
{
 
   private   int  permissionID;
  
   public   int  doEndTag()  throws  JspException
  {
  HttpSession session  =  pageContext.getSession();
   // 登陆时把该user的userProfile放到session里 
  UserProfile userProfile  =  (UserProfile)session.getAttribute( " userProfile " );
  Collection collection =  userProfile.getUserPermissions();
  Iterator it  =  collection.iterator() ;
   while (it.hasNext())
  {
      UserPermission userPermission  =  (UserPermission)it.next();
        if  ((permissionID  ==  userPermission.getPermissionId()))
         {
            return  EVAL_PAGE;
         }
    }
     return  SKIP_PAGE;
  }

   public   int  getPermissionID()
  {
     return  permissionID;
  }
   public   void  setPermissionID( int  permissionID)
  {
     this .permissionID  =  permissionID;
  }
}

  SecurityTagForField:
 public   class  SecurityTagForField  extends  TagSupport
{
   private   int  permissionID;
   private  String privilege;

   public   int  doStartTag()  throws  JspException
  {
   HttpSession session  =  pageContext.getSession();
   UserProfile userProfile  =  (UserProfile)session.getAttribute( " userProfile " );

    Collection collection =  userProfile.getUserPermissions();
    Iterator it  =  collection.iterator() ;
     while (it.hasNext())
    {
      UserPermission userPermission  =  (UserPermission)it.next();
     if  (privilege  == null )
       {
          if  ( (permissionID  ==  userPermission.getPermissionId()))
         {
            return  EVAL_BODY_INCLUDE;
         }
       }
       else
      {
           if  ((permissionID  ==  userPermission.getPermissionId())
               && (privilege.equals(userPermission.getPrivilege())))
          {
             return  EVAL_BODY_INCLUDE;
          }
      }
    }
     return  SKIP_BODY;
  }


   public   int  getPermissionID()
  {
     return  permissionID;
  }
   public   void  setPermissionID( int  permissionID)
  {
     this .permissionID  =  permissionID;
  }
   public  String getPrivilege()
  {
     return  privilege;
  }
   public   void  setPrivilege(String privilege)
  {
     this .privilege  =  privilege;
  }
}

  4 在web-inf目录下建个securityTag.tld文件,

网R管C8Hx软供Tq.Rh$理
?0~教F":iL无:`专$R=`PU
q提教Q无!件iudDCUz"dzT
内容如下:(改一下class的目录)

<? xml version="1.0" encoding="ISO-8859-1" ?>
<! DOCTYPE taglib PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.1//EN"
 "http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd" >
<!--  a tag library descriptor  -->
< taglib >
  < tlibversion > 1.0 </ tlibversion >
  < jspversion > 1.1 </ jspversion >
  < shortname > security </ shortname >
  < uri />
  < info >
     access control!
    </ info >
  < tag >
   < name > securityForField </ name >
   < tagclass > com.companyname.prjname.taglib.SecurityTagForField </ tagclass >
   < attribute >
                 < name > permissionID </ name >
                 < required > true </ required >
                 </ attribute >
                 < attribute >
                   < name > privilege </ name >
                 </ attribute >  

  </ tag >
         < tag >
   < name > securityForPage </ name >
   < tagclass > com.companyname.prjname.taglib.SecurityTagForPage </ tagclass >
   < attribute >
                 < name > permissionID </ name >
                 < required > true </ required >
                 </ attribute >

  </ tag >
</ taglib >

 

  5 修改需要控制的jsp
  在jsp页面这样写:

<% @ taglib uri = " /WEB-INF/securityTag.tld "  prefix = " security "   %>
<% @ page import = " com.hp.elog2.util.Util "   %>
< security:securityForPage  permissionID ="36"   />
.......
 < security:securityForField  permissionID ="46"  privilege ="R" >
           < td >< html:text  name ="formBean"  property ="property1"  readonly ="true"   /></ td >
</ security:securityForField >
< security:securityForField  permissionID ="46"  privilege ="W" >
           < td >< html:text  name ="formBean"  property ="property1"   /></ td >
</ security:securityForField >


......
  这样就大功告成了,
建议在所有jsp页面完成后再做权限控制这一块(添加Tag),主要都是些Copy+C和Copy+V的工作。  此方法最大的问题就是hardcode太多,但结构简单,思路清晰,适用范围广。
 

birdme007
关注
专栏目录
B/S用户权限管理系统
05-06
系统是实现了权限管理的一个系统。该系统进行B/S 设计的是通用模块,包含了个性化界面设计、权限管理设计、通用数据库操作设计等方面,在本项目完成过程中所涉及的知识点有:html、javascript、jsp、javabean、面向对象程序设计、Oracle 数据库、数据库设计
Spring Security(17)——基于方法权限控制
weixin_34319111的博客
12-07 106
基于方法权限控制 目录 1.1 intercept-methods定义方法权限控制 1.2 使用pointcut定义方法权限控制 1.3 使用注解定义方法权限控制 1.3.1 JSR-250注解 1.3.2 @Secured注解 1.3.3 支持表达式的注解 1.4 方法权限控制的拦截器 ...
权限控制最常见的五种方法
wangzhiguo9261的博客
04-18 6910
涉及到权限的问题往往是都是复杂的问题,在系统权限控制方面,我们经常会参照现成的案例来设计自己的权限控制,以下就是最常见的几种权限控制方法1. 控制系统的登录在用户状态上加状态控制,可用的用户就可以登录系统,冻结中的就无法登录2. 控制菜单的显示在一二级菜单上加权限控制。有权限的就可以访问对应模块,没有的连菜单名都看不到3. 控制按钮的显示在业务模块的功能按钮上加权限控制,最小粒度的控制用户行为。...
一个简单的B/S架构
上善若水
11-02 2164
 一,一个简单的把py文件与html文件相互结合渲染在页面上 import socket soc = socket.socket() # 发送绑定的请求 soc.bind(('127.0.0.1', 8001)) # 服务端能接收的数量 soc.listen(5) while True: # 获取从浏览器发送来的数据 so, addr = soc.accept() ...
基于J2EE的B/S系统权限控制设计 (2005年)
05-22
针对传统权限控制设计的问题,提出了一种基于J2EE的B/S系统权限控制设计。它通过虚拟扩展数据库系统的外模式和虚拟实现数据库的用户授权模式,在数据库连接.IDBC与Web的应用服务之间增加数据过滤层,很好地解决了...
论文研究-基于角色访问控制在B/S系统中的应用与实现 .pdf
08-15
基于角色访问控制(RBAC)是一种在...RBAC模型的发展和完善,为B/S模式等信息系统提供了一种有效的权限管理解决方案,能够支持组织内部复杂角色关系的映射和权限控制需求,满足现代信息系统安全性和灵活性的双重要求。
B/S网盘系统
12-26
【B/S网盘系统】是一种基于浏览器/服务器(Browser/Server)架构的网络存储系统,它允许用户通过Web浏览器访问、存储和管理自己的文件。这种系统的核心特点是无需安装客户端软件,只需要一个支持JavaScript的现代...
c#b/s通用功能权限管理系统,带源码
05-12
C# B/S通用功能权限管理系统的核心在于权限控制模块,它通常采用RBAC(Role-Based Access Control,基于角色的访问控制)模型。在这个模型中,系统首先定义好各种角色及其对应的权限,然后根据用户的角色来决定用户...
B/S架构的权限管理系统 数据库Access
01-23
在IT行业中,B/S(Browser/Server,浏览器/服务器)架构是一种常见的软件系统设计模式,它将用户界面和业务逻辑分离,用户通过浏览器进行交互,而服务器负责处理数据和业务逻辑。这种架构模式大大简化了客户端的需求...
1个简单的三层B/S架构实例
08-06
1个简单的三层B/S架构实例,C#语言编写,适合初学者
简单的b/s版C#连接数据库操作示例程序
05-06
一个简单的数据库操作示例程序,便于数据库课程设计参考,使用Sql server 2005、VS2008工具,使用SQL、C#语言。
疯狂.NET 通用权限设计 C\S后台管理,B\S前台调用源码样例程序源码
08-30
疯狂.NET 通用权限设计 C\S后台管理,B\S前台调用源码样例程序源码
[转载]B/S系统权限控制一种简单方法
congji3817的博客
03-26 152
B/S系统权限控制一种简单方法看了网上一些关于权限控制的帖子,越看越迷糊,什么用AOP(Aspect Oriented Programming,面向方面编程),用容器,RBAC(基于角色的访问控制方法),SSO,Jive的P...
权限控制系统概述
黑子的程序员生涯
10-26 281
权限概念中,我认为原子元素只有三种:用户、功能权限、数据权限。其他的角色、用户组之类的东西都是为了解耦用户与其他元素之间关系而引入的,或者为了方便起见,都是一个中间变量而已。 1.功能权限。 针对某个一功能,是否能访问。比如此用户是否能访问读取客户资料的功能。这个权限比较基础,不是yes就是no,所以有人又称Y/N权限。 2.数据权限。 在允许访问某一功能权限的基础上,控制可访问的...
C语言实战篇 简易B/S系统——Http Server和精简的浏览器
大新哥Michael的专栏
05-02 1879
这学期选的限选课是C语言,主要的感受是课程少,实验多。课程学时是八周,每周2学时;而实验也是八周,可是每周4学时。由此看来,还是实验比较重要。应了那句老话,实践是检验真理的唯一标准。 实验课最后的综合实验是做一个简易的B/S系统——Http Server和精简的浏览器,整体框架如下: 我实现的功能: 以下基本要求:        总共分为两个程序:浏览器端、服务器端 A、
机械原理课程设计 破碎机.doc
最新发布
09-21
机械原理课程设计 破碎机.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值