感觉文章很好就转一下,首先感谢这位仁兄!http://www.blogjava.net/wake/archive/2006/04/28/43843.html
近几天不是很忙,就想看看关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子。
先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role Based Access Control) 的相关文章,虽然已经是个老话题了 , 但如果要在一个大的项目中实现权限控制的话,最好还是按照这些文章中的设计去逐步实现。
以下的设计只是一个简单的控制,可以应用在一些小成本的项目中。也可能不是最好的解决方法,但旨在与大家交流及共享。各位见笑,闲话少续,言归正传。
我的设计思路是这样的:
1, 管理员用户表中有个字段专门记录每个用户所拥有的权限。
2, 权限和文件名对应,比如有个权限的名称叫新闻编辑,而与此编辑权限对应的文件有: News_add.jsp,News_del.jsp,News.action 等,他们之间是一对多的关系。如下图:
![](https://i-blog.csdnimg.cn/blog_migrate/87fa5bc834abcd83f4f3a65ef07f2cf6.jpeg)
如果还不明白,请继续往下看:我的想法是这样的 … 比如 a 用户如果有新闻编辑的权限,那么在 a 用户记录权限的字段里就应该记录 New_add.jsp,News_del.jsp,News.acion 这些值。
3 ,那么具体怎么对资源进行控制呢?首先在用户登陆后,将用户的所以信息以对象的形式放入 Session 中。如将用户对象 auser 放入到 session 中,则可用类似
AdminUser adminuser = (AdminUser) session.getAttribute("auser")
adminuser.getUserPopedom()
的方法将该用户所拥有的权限字符取出来,我们这里取出来的字符会是 New_add.jsp,News_del.jsp,News.acion 。那么在需要做控制的页面首先利用
String url = servletRequest.getRequestURI();
url = url.substring(url.lastIndexOf("/") + 1, url.length());
取出当前页的文件名,再将此文件名与该用户的权限字符做比较,如果该文件名在权限字符中可以找到,则表明该用户拥有此页面操作的权限。