web系统的权限失效时页面间的控制

最新推荐文章于 2024-10-02 05:39:15 发布
最新推荐文章于 2024-10-02 05:39:15 发布
阅读量163 收藏
点赞数
分类专栏: JS / CSS 文章标签: javascript jsp struts session ViewUI
环境:jsp java struts

背景:
1、登录后,进入系统主界面index。
2、在主界面有该用户可用的各种操作的连接,点击不同的连接,在打开新窗口中展示要操作的内容。
3、可以同时打开多个操作窗口,操作不同的内容。

问题:
权限管理。在一个窗口中进行操作,如果判断到此时用户的登录信息过期,session失效。如何关闭所有窗口,给用户展示一个登录界面。

解决方案:
1、主界面index中加入如下代码,以便知道主页面所在窗口的名子 

<script language="javascript">
   window.opener=null;
   window.name="webIC";
</script>

2、主界面index中加入如下代码,用于在主窗口关闭时调用 。它关闭了所有由它打开的窗口。 

<script type="text/javascript">

var winMap = new Object();
window.onunload = function() 
{

    for(var propName in winMap) 
    {
        try
        {                
         winMap[propName].close(); 
        }
        catch(e) 
        {

        }           
    }
}
</script>


3、主界面index中加入如下JS函数,用于打开所有的连接。将打开窗口的信息记录在案。 

<script language="javascript">
    function openWin(aa,name)
    {
     var winName = name;
     var win;
     win = winMap[winName];
      try 
    {
             win.focus();            
       }
   catch(e) 
   {                  
             win = window.open(aa,winName,"height=450,width=700,status=yes,toolbar=no,menuba=no,location=no,resizable=yes,scrollbars=yes");
             winMap[winName] = win;

             if(!win)
    { 
                 alert("Sorry, fail to open the window.Some unexpected error occurs."); 
             }
             else 
    {                    
                 win.focus();
             }

        } 

    }
</script>


4、建立两个jsp文件,分别用来转向session失效操作和无权限操作

gotoLogin.jsp: 

<%@ page contentType="text/html; charset=UTF-8" %>
<%@ taglib uri="/tags/struts-bean" prefix="bean" %>

<!--跳转到登录页面,之所以在此做以跳转,而不在后面直接跳转,主要考虑到对窗口样式不同-->
<script language="javascript">

    var aa=window.open("","webIC");
    aa.close();//关闭index窗口。由于上面2,3的设置,所以关闭主页时所有了子页也将关闭

   window.open("./show.do?method=getLogin","","");//打开新窗口,转到login界面
   window.opener=null;
   setTimeout('window.close();','1');//自关闭
</script>


gotoLawless.jsp: 

<%@ page contentType="text/html; charset=UTF-8" %>
<%@ taglib uri="/tags/struts-bean" prefix="bean" %>

<!--跳转到非法提示,之所以在此做以跳转,而不在后面直接跳转,主要考虑到对窗口样式不同-->
<script language="javascript">

   window.open("./show.do?method=getLawless","","height=200,width=400,status=yes,toolbar=no,menuba=no,location=no,resizable=no,scrollbars=no");
   window.opener=null;
   setTimeout('window.close();','1');
</script>


5、在struts-config.xml中对上面两个jsp配置两个转向,名子与文件相同(不带扩展)
6、可在程序中加入如下代码来判断用户登录信息是否还有效,如要在action中加入: 

//*****登录有效性及权限验证****************
      String sUser_name="";
      try{ sUser_name = request.getSession().getAttribute("user_name").toString();
   if(!(new Purview()).canAccess(sUser_name, Purview.SYS_CHANGE_PW, ""))
     return mapping.findForward("gotoLawless");//如果无权限,则转此
   }
catch (Exception e) 
   {
   return mapping.findForward("gotoLogin");//如果session失效,则进行此操作
   } 
 //**********************************************************

ljf_home
关注
专栏目录
【愚公系列】2023年05月 Web渗透测试之权限绕过攻击
时光隧道
08-25 5万+
权限绕过攻击是一种攻击技术,在这种攻击中,攻击者试图通过欺骗系统或者其他授权实体,绕过安全控制以获得对某一系统、网络、应用或者数据的未授权访问。攻击者通常使用各种恶意Web应用程序来绕过安全控制以获得攻击目标中的敏感信息。
Web漏洞安全-失效访问权限控制
weixin_37689012的博客
07-18 933
失效权限控制
WEB用户访问控制方法
low_coder
11-01 5174
基于角色-页面模型的WEB用户访问控制方法 1:在管理信息系统(MIS:Management Information System)中,针对用于控制 各种用户使用系统权限和访问的用户授权及权限管理机制的研究得到了普遍 的关注。目前用户权限管理通常采用三种方法:强制访问控制(MAC:Mandatory Access  Control),自主访问控制(DAC:Discretionary Acc
springsecurity设置用户登录状态过期,让其重新登录
u013232219的博客
02-24 8477
手动程序让session过期,使用户重新登录 //判断是否过期 Object expireDate = redisTemplate.opsForValue().get(username+"expireDate"); if(expireDate != null && expireDate != ""){ SimpleDateFormat dateFormat= new S...
开发实战|第三篇:基于shiro实现权限控制
过期的酒的博客
10-10 331
目录1.简介2.SpringBoot整合Shiro3.参考资料 1.简介 Apache Shiro是Java的一个安全框架,可用于用认证,授权,加密,会话管理等多个方面,其基本功能点如下图所示: 模块 用途 Authenication 身份认证/登录,验证用户是否拥有相应身份 Authorization 授权,权限验证,验证某个用户是否拥有某个权限 Session Man...
WEB漏洞原理】失效的访问控制
过期的秋刀鱼
09-01 2027
应该对Web 应用系统等)实施访问控制策略,限定不同用户的不同权限(访问范围)。如果没控制住,就意味着访问控制失效
失效的访问控制及漏洞复现
来日可期的博客
09-01 2291
失效的访问控制漏洞是指系统在实施访问控制策略出现错误或缺陷,导致攻击者能够绕过或越权访问敏感资源。这些错误可能包括缺乏有效的身份验证、授权检查不完整或不正确配置的访问控制列表(ACL)等。
2021 OWASP TOP 1: 失效的访问控制
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-07 7240
2022 OWAP TOP 1 学习总结,什么是失效的访问控制?包含了哪些漏洞?
shiro关于权限问题的页面跳转
言诺liang
12-04 5589
关于shiro权限控制异常的抓取及跳转问题:如果用户登录没有所需的角色role或者所需的权限permission这候应该抓取异常并跳转到异常提示页面一般我知道的三种处理方式。 1、直接在配置文件中配置shiro的web过滤器: &lt;!-- Shiro的Web过滤器 --&gt; &lt;bean id="shiroFilter" class="org.apache.sh...
Vue2.0用户权限控制解决方案的示例
08-28
Vue2.0用户权限控制Web应用程序中一个重要的安全机制,它确保用户只能访问他们被授权的页面和功能。在Vue2.0中,我们可以利用Vue Router、Vue本身以及axios库来实现这一功能。Vue-Access-Control就是这样一个专门...
html 访问权限控制,单页应用登录状态保持和页面访问权限控制的解决办法
weixin_28775337的博客
06-09 1191
单页应用与多页应用传统的 web 项目中,多数是多页应用,即每次页面跳转的候,后台服务器都会给返回一个新的 html和与之相关的 css 和 js 资源,例如熟悉的 JSP ,这种类型的网站也就是多页网站,也叫做多页应用。这种应用最明显的缺点就是页面切换的响应速度慢、静态资源的重复加载等。而单页应用(SPA)在页面跳转的候,并不需要请求新的 html、css 和 js 等资源,这样就节省了很多...
python访问控制权限_我的第一个python web开发框架(39)——后台接口权限访问控制处理...
weixin_42373997的博客
01-30 553
前面的菜单、部门、职位与管理员管理功能完成后,接下来要处理的是将它们关联起来,根据职位管理中选定的权限控制菜单显示以及页面数据的访问和操作。那么要怎么改造呢?我们可以通过用户的操作步骤来一步步进行处理,具体思路如下:1.用户在管理端登录,通过用户记录所绑定的职位信息,来确定用户所拥有的权限。我们可以在登录接口中,将该管理员的职位id存储到session中,以方便后续的调用。2.登录成功后,跳转进...
vue后台管理系统权限控制
qq_37728271的博客
05-22 1956
目录 什么是权限控制? 如何实现权限控制 改进的解决方案 基本实现 登出再登入问题 页面刷新问题 什么是权限控制? 首先,我们按照最初的开发模式,在router.js中将所有的组件都注册在路由中. import Vue from 'vue' import Router from 'vue-router' import { extend } from '../utils/r...
knowLedge-Vue I18n 是 Vue.js 的国际化插件
2301_76671906的博客
09-30 808
Vue 2 中使用 Vue I18n 插件实现中英文切换
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 540
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
Web认识 -- 第一课
ZxVSaccount的博客
09-30 1140
这里是我们进入前端学习的开端,在本次更新之后我会陆续上传html,css,javaScript等相关语言的教程,有感兴趣的小伙伴们点点关注,未来我们一起学习!IE、火狐和谷歌是目前互联网上的三大浏览器,其他常用的浏览器还有苹果的Safari浏览器和欧朋浏览器等。对于一般的网站,只要兼容IE浏览器、火狐浏览器和谷歌浏览器,就能满足绝大多数用户的需求。本节主要简单介绍了一下关于HTML、CSS、JavaScript的一些基本概念,有感兴趣的朋友,点点关注我们一起学习,博主持续更新中!
如何使用Redisson的布隆过滤器?
最新发布
付聪
10-02 282
【代码】如何使用Redisson的布隆过滤器?
React响应式修改数组和对象
警警的博客
09-30 708
React的状态是不可变的,这意味着你不能直接修改状态对象中的数组元素,而是需要创建一个新的数组来更新状态。你不能直接修改对象中的属性,而是需要创建一个新的对象来更新状态。不可变性(Immutability):React中的状态是不可变的,这意味着你不能直接修改状态对象中的数组元素,而是需要创建一个新的数组来更新状态。避免直接修改状态:React的状态是不可变的,直接修改状态(如this.state.items.push(4))不会触发重新渲染,因为React无法检测到这种变化。// 修改name属性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值