JSP权限控制(二)

最新推荐文章于 2021-02-26 11:07:24 发布
最新推荐文章于 2021-02-26 11:07:24 发布
阅读量3.8k 收藏
点赞数
分类专栏: 权限控制资料 文章标签: jsp import string filter javadoc webwork

JSP权限控制(二)
今天把源代码贴出来 … 按照代码再加点解释。

 

1 )首先建立管理用户表,其中 UserPopedom 记录用户的权限字符,其实也就是一些 JSP 或者 ACTION 的文件名:

CREATE TABLE [dbo].[AdminUser] (

       [UserID] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,

       [UserName] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,

       [UserPass] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,

       [UserPopedom] [text] COLLATE Chinese_PRC_CI_AS NULL

) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]

2 )按照上面的表格建立该用户的对象

package com.wake.bean;

 

public class AdminUser {

   

    private String UserID;

    private String UserName;

    private String UserPass;

    private String UserPopedom;

   

    public String getUserID() {

           return UserID;

    }

    public void setUserID(String userID) {

           UserID = userID;

    }

    public String getUserName() {

           return UserName;

    }

    public void setUserName(String userName) {

           UserName = userName;

    }

    public String getUserPass() {

           return UserPass;

    }

    public void setUserPass(String userPass) {

           UserPass = userPass;

    }

    public String getUserPopedom() {

           return UserPopedom;

    }

    public void setUserPopedom(String userPopedom) {

           UserPopedom = userPopedom;

    }

}

3 )对整个后台的控制我这里分为了两部分,一部分是栏目的显示控制,一部分是资源(页面)的操作控制。

其中栏目的显示控制解释为:以新闻栏目为例,如果某用户没有新闻栏目的任何管理权限(增、改、删、申等),那么在后台的管理菜单中将不显示新闻栏目。否则,只要某用户拥有其中任何一个权限,新闻栏目则显示。这里要掌握的要领是,所有和新闻权限相关的页面命名必须以 News 打头,这样将来决定显示与否就以该用户的权限字符中是否能找到 News 为依据。该功能的实现我写了 Bean 来判断。如下:

package com.wake.util;

 

import java.util.Map;

 

import com.opensymphony.xwork.ActionContext;

import com.wake.bean.AdminUser;

 

public class PopedomValidate {

   

    public static boolean UserPopedomValidate(String pstr){

           Map session = ActionContext.getContext().getSession();

           AdminUser auser = (AdminUser)session.get("auser");

           if(auser==null||auser.equals("")){

                  return false;

           }

           else{

                  if(auser.getUserPopedom().indexOf(pstr)!=-1)

                         return true;

           }

           return false;

    }

 

}

在页面中使用如下判断(我是在 WEBWORK 中实现),也可在 JSP 中直接调用!

<%@ taglib uri = "webwork" prefix = "ww" %>

< ww:bean name = "'com.wake.util.PopedomValidate'" id = "pd" />

< ww:if test = '#pd.UserPopedomValidate("News")' >

新闻栏目 < br >

</ ww:if >

对于资源(页面)的操作控制我是使用 Filter 来进行控制的, Filter 源码如下。

 

package com.wake.util;

 

import java.io.IOException;

 

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

 

import com.wake.bean.AdminUser;

 

/**

 * @author Administrator

 *

 */

public class PopedomControl extends HttpServlet implements Filter {

    /**

     *

     */

    private FilterConfig filterConfig;

    private static final long serialVersionUID = -4275105240038370264L;

 

    /*

     * (非 Javadoc )

     *

     * @see javax.servlet.Filter#init(javax.servlet.FilterConfig)

     */

    public void init(FilterConfig arg0) throws ServletException {

    }

 

    /*

     * (非 Javadoc )

     *

     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,

     *      javax.servlet.ServletResponse, javax.servlet.FilterChain)

     */

    public void doFilter(ServletRequest request, ServletResponse response,

           FilterChain filterChain) {

 

       HttpServletRequest servletRequest = (HttpServletRequest) request;

       HttpServletResponse servletResponse = (HttpServletResponse) response;

       HttpSession session = servletRequest.getSession();

       // 获取当前页面文件名

       String url = servletRequest.getRequestURI();

       url = url.substring(url.lastIndexOf("/") + 1, url.length());

      

       try {

           // 排除后台不作权限控制的页面名

           String exclude= "adminlogin.action,login.jsp,Message.jsp,loginout.jsp";

           if(exclude.indexOf(url)==-1){

              // 获取网站访问根目录

              String accessPath = servletRequest.getContextPath();

              // 用当前页面文件名与用户权限字符比较

              AdminUser adminuser = (AdminUser) session.getAttribute("auser");

              if (adminuser == null) {

                  servletResponse.sendRedirect(accessPath + "/admin/login.jsp");

              }else if(adminuser.getUserPopedom().indexOf(url)==-1){

                  servletResponse.sendRedirect(accessPath + "/admin/Message.jsp");

              }

           }

       } catch (Exception sx) {

           sx.printStackTrace();

       }

      

       try {

           filterChain.doFilter(request, response);

       } catch (ServletException sx) {

           filterConfig.getServletContext().log(sx.getMessage());

       } catch (IOException iox) {

           filterConfig.getServletContext().log(iox.getMessage());

       }

    }

 

    public void destroy() {

    }

 

}

WEB.XML 关于过滤器配置

    < filter >

       < filter-name > popedomcontrol </ filter-name >

       < filter-class > com.wake.util.PopedomControl </ filter-class >

    </ filter >

    < filter-mapping >

       < filter-name > popedomcontrol </ filter-name >

       < url-pattern > /admin/* </ url-pattern >

    </ filter-mapping >

 

这样不知道大家看明白没有 …

 

这次这个简单的权限设计从开始到完成断断续续用了将近 3 天的时间,一切都是在摸索中进行。其实上面的设计思路经过优化和复杂化也可以设计为符合 RBAC 规范的例子。那需要我们在用户和权限之间再加一个基本的角色进去。这样用户对应的是角色,而角色去对应权限。至于其它的就由我们自己自由发挥了呵呵,这次关于权限的试验就到此了,让大家见笑了。

 

dizhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
jsp权限控制
11-17
用于做权限的开发,有需要的童鞋可以下载,很简单
jsp权限控制jsp自定义标签实现
08-12
Struts2拦截器:需要配置action进行拦截。而且。有时候我们并不想让用户看到不改属于他操作的按钮。(sturts可以进行判断,但有写复杂) 使用jsp自定义标签的功能实现权限控制。(如果用户没有某个模块的删除权限,就不现实这个删除按钮) 在整个项目中所有的页面都可以引入自定义的标签去做到权限控制。 自定义标签文件 删除 可以控制页面中的每个元素,只需要一个类就能够实现
JSP权限控制
sun5208的专栏
10-24 1410
感觉文章很好就转一下,首先感谢这位仁兄!http://www.blogjava.net/wake/archive/2006/04/28/43843.html近几天不是很忙,就想看看关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子。 先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role
分布式自定义权限控制-01 JSP页面权限控制
zxysshgood的博客
06-29 1792
      如果提前正常一个java EE项目,权限控制是必不可少的一环。无论干嘛都绕不过权限控制一说。比如,没有权限的人不能发起页面请求,ajax请求,比如JSP页面有权限的人和没有权限的用户,是两种展现。有些人有查询按钮,有些人没有查询按钮等。        如上方提到的相关权限控制是在平常不过的要求了。页面请求,和ajax请求一般是可以通过Spring 或者 structs 的拦截器,对相关...
服务器端----------页面端标签控制权限jsp
Rocky balboa
02-26 223
1.依赖导入 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>version</version> </dependency> 2.页面导入 <%@taglib uri="http://www.springframewo
JAVAWEB权限控制源码
08-02
2.使用进制进行权限控制 3.完整代码,有大部分注释 4.包括用户模块、部门、帐号管理、菜单模块、权限管理 5.里面有用到jquery.colorbox、JQuery zTree 等JS插件,友好的界面,整齐好看 6.三层架构、比较完整的底层...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
jsp用户权限管理系统
12-06
常见的权限控制框架有Spring Security、Apache Shiro等,它们提供了角色、权限、访问控制列表等概念。 5. **角色与权限**:用户通常被分配到不同的角色,每个角色具有特定的权限集合。这种方式便于批量分配权限,...
JSP权限控制(一)
dizhang的专栏
07-15 2840
JSP权限控制(一) 近几天不是很忙,就想看看关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子。   先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role Based  Access Control) 的相关文章,虽然已经是个老话题了 , 但如果要在一个大的项目中实现权限控制
Springsecurity在jsp中进行权限控制的踩坑记
weixin_33935777的博客
12-20 1077
2019独角兽企业重金招聘Python工程师标准>>> ...
变容极管调频电路课程设计
04-14
本电路采用常见的电容三点式震荡电路实现LC振荡,如图3.1,简便易行,变容极管电容作为组成LC振荡电路的一部分,电容值会随加在其两端的电压的变化而变化,从而达到了变频的目的。
AWG线规—额定电流对应关系表
08-26
AWG线规—额定电流对应关系表
技术经济学概论(第版) 吴添祖主编 课后答案
03-09
技术经济学概论(第版) 吴添祖主编 课后答案 习题答案 1、答: 资金利润率、利率。 2、答: 固定资产投资和流动资产都是生产过程中不可缺少的生产要素,者相互依存,密不可分。者的区别在于:(1)固定资产投资的结果形成劳动手段,对企业未来的生产有着决定性影响,而流动资产投资的结果是劳动对象,而且流动资产投资的数量其结构是由固定资产投资的规模及结构所决定的。(2)固定资产投资从项目动工上马到建成交付使用,常常要经历较长的时间。在这期间,只投入,不产出,投入的资金好像被冻结。而流动资产投资,一半时间较短,只要流动资产投资的规模与固定资产投资规模相适应,产品适销对路,流动资产投资可很快收回。
计算机网络_第7版_1-6章重点练习详解+答案_谢希仁
06-06
计算机网络_第7版_1-6章重点练习+答案_谢希仁 1-6章课后重点必考题详解与答案。
SIM7600CE_硬件设计手册_V1.04
04-25
SIM7600CE_硬件设计手册_V1.04.pdf SIM7600CE_硬件设计手册_V1.04.pdf
学习Shiro, JSP标签,按钮权限控制
tianqiqing2012的博客
06-27 2062
原文地址:http://blog.sina.com.cn/s/blog_4587b30f0102wtyb.htmlShiro提供了JSTL标签用于在JSP/GSP页面进行权限控制,如根据登录用户显示相应的页面按钮。  导入标签库Java代码  收藏代码〈%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %&gt;  标签库定义在s...
JSP页面控制访问权限
玫瑰小妖
01-07 502
  在Strut2中,session不是服务器原始的httpsession,而是封装成了一个map对象,通过map.put()方法添加键值对。实现时,使用org.apache.struts2.interceptor.SessionAware接口对session进行操作。示例如下, package s2.ex.action; import java.util.Map; import org...
自定义JSP标签自动完成对页面按钮做权限拦截处理
u011277123的博客
10-31 2587
分献IT 2017-10-23 12:03 前提 许多后台系统的页面是使用JSP页面来编写的,在后台系统权限管理逐渐完善的过程中,就会引申出这个需求来:系统已经支持了指定请求的权限控制,能否在页面加载时就对无权限处理的按钮或链接进行隐藏,每次点击后提示无权限操作,这种体验实在是不好。 方案 答案是肯定可以支持的,而且实现起来也很容易。自定义一套jsp页面的标签,校验当前用户是否有某
JSP页面的访问控制
新新
09-02 8084
1、  如何实现访问控制用户直接访问网站的某个页面,系统会去查询是否保存有该用户的登录信息,如果有,则显示该页面的内容,如果没有,就转入登录页面,要求用户登录网站。 JSP为我们提供了一套会话跟踪机制,该机制可以维持每个用户的会话信息,也就是说,使用会话跟踪,可以为不同的用户保存不同的数据。2、  什么是会话。就Web开发来说,一个会话就是用户通过浏览器与服务器之间进行的一
shiro 在jsp权限控制
最新发布
10-10
JSP中使用Shiro进行权限控制的基本步骤如下: 1. 配置Shiro:在web.xml中配置Shiro的过滤器。可以使用Shiro提供的Filter,例如DelegatingFilterProxy。 2. 编写Shiro配置文件:创建一个shiro.ini或shiro.xml文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值