JSP权限控制(二)

最新推荐文章于 2022-11-17 22:38:10 发布
最新推荐文章于 2022-11-17 22:38:10 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: JSP 文章标签: jsp import string filter javadoc webwork
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun5208/article/details/4724340
版权

1 )首先建立管理用户表,其中 UserPopedom 记录用户的权限字符,其实也就是一些 JSP 或者 ACTION 的文件名:
CREATE TABLE [dbo].[AdminUser] (
  [UserID] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
  [UserName] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
  [UserPass] [varchar] (50) COLLATE Chinese_PRC_CI_AS NULL ,
  [UserPopedom] [text] COLLATE Chinese_PRC_CI_AS NULL
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]
2 )按照上面的表格建立该用户的对象
package com.wake.bean;


public class AdminUser {

private String UserID;
private String UserName;
private String UserPass;
private String UserPopedom;

public String getUserID() {
    return UserID;
}
public void setUserID(String userID) {
    UserID = userID;
}
public String getUserName() {
    return UserName;
}
public void setUserName(String userName) {
    UserName = userName;
}
public String getUserPass() {
    return UserPass;
}
public void setUserPass(String userPass) {
    UserPass = userPass;
}
public String getUserPopedom() {
    return UserPopedom;
}
public void setUserPopedom(String userPopedom) {
    UserPopedom = userPopedom;
}
}
3 )对整个后台的控制我这里分为了两部分,一部分是栏目的显示控制,一部分是资源(页面)的操作控制。
其中栏目的显示控制解释为:以新闻栏目为例,如果某用户没有新闻栏目的任何管理权限(增、改、删、申等),那么在后台的管理菜单中将不显示新闻栏目。否则,只要某用户拥有其中任何一个权限,新闻栏目则显示。这里要掌握的要领是,所有和新闻权限相关的页面命名必须以 News 打头,这样将来决定显示与否就以该用户的权限字符中是否能找到 News 为依据。该功能的实现我写了 Bean 来判断。如下:
package com.wake.util;



import java.util.Map;



import com.opensymphony.xwork.ActionContext;

import com.wake.bean.AdminUser;



public class PopedomValidate {



public static boolean UserPopedomValidate(String pstr){

    Map session = ActionContext.getContext().getSession();

    AdminUser auser = (AdminUser)session.get("auser");

    if(auser==null||auser.equals("")){

        return false;

    }

    else{

        if(auser.getUserPopedom().indexOf(pstr)!=-1)

          return true;

    }

    return false;

}



}
在页面中使用如下判断(我是在 WEBWORK 中实现),也可在 JSP 中直接调用!

<%@ taglib uri = "webwork" prefix = "ww" %>

< ww:bean name = "'com.wake.util.PopedomValidate'" id = "pd" />

< ww:if test = '#pd.UserPopedomValidate("News")' >
新闻栏目 < br >

</ ww:if >

对于资源(页面)的操作控制我是使用 Filter 来进行控制的, Filter 源码如下。



package com.wake.util;



import java.io.IOException;



import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;



import com.wake.bean.AdminUser;



/**

* @author Administrator

*

*/

public class PopedomControl extends HttpServlet implements Filter {

/**

*

*/

private FilterConfig filterConfig;

private static final long serialVersionUID = -4275105240038370264L;



/*

* (非 Javadoc

*

* @see javax.servlet.Filter#init(javax.servlet.FilterConfig)

*/

public void init(FilterConfig arg0) throws ServletException {

}



/*

* (非 Javadoc

*

* @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,

*   javax.servlet.ServletResponse, javax.servlet.FilterChain)

*/

public void doFilter(ServletRequest request, ServletResponse response,

    FilterChain filterChain) {



  HttpServletRequest servletRequest = (HttpServletRequest) request;

  HttpServletResponse servletResponse = (HttpServletResponse) response;

  HttpSession session = servletRequest.getSession();

  // 获取当前页面文件名

  String url = servletRequest.getRequestURI();

  url = url.substring(url.lastIndexOf("/") + 1, url.length());

 

  try {

    // 排除后台不作权限控制的页面名

    String exclude= "adminlogin.action,login.jsp,Message.jsp,loginout.jsp";

    if(exclude.indexOf(url)==-1){

    // 获取网站访问根目录

    String accessPath = servletRequest.getContextPath();

    // 用当前页面文件名与用户权限字符比较

    AdminUser adminuser = (AdminUser) session.getAttribute("auser");

    if (adminuser == null) {

        servletResponse.sendRedirect(accessPath + "/admin/login.jsp");

    }else if(adminuser.getUserPopedom().indexOf(url)==-1){

        servletResponse.sendRedirect(accessPath + "/admin/Message.jsp");

    }

    }

  } catch (Exception sx) {

    sx.printStackTrace();

  }

 

  try {

    filterChain.doFilter(request, response);

  } catch (ServletException sx) {

    filterConfig.getServletContext().log(sx.getMessage());

  } catch (IOException iox) {

    filterConfig.getServletContext().log(iox.getMessage());

  }

}



public void destroy() {

}



}

WEB.XML 关于过滤器配置

< filter >
  < filter-name > popedomcontrol </ filter-name >
  < filter-class > com.wake.util.PopedomControl </ filter-class >
</ filter >
< filter-mapping >
  < filter-name > popedomcontrol </ filter-name >
  < url-pattern > /admin/* </ url-pattern >

</ filter-mapping >



这样不知道大家看明白没有



这次这个简单的权限设计从开始到完成断断续续用了将近 3 天的时间,一切都是在摸索中进行。其实上面的设计思路经过优化和复杂化也可以设计为符合 RBAC 规范的例子。那需要我们在用户和权限之间再加一个基本的角色进去。这样用户对应的是角色,而角色去对应权限。至于其它的就由我们自己自由发挥了呵呵,这次关于权限的试验就到此了,让大家见笑了。


在评论中有位仁兄的见解也非常不错!下面就给大家看一下:建个资源文件,以数字对应文件,再进行验证。见过有一个系统曾是这样设计。

sun5208
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单的jsp权限管理
W1677287953的博客
12-12 1858
简单权限管理的控制权限管理代码 权限管理 在java项目中经常会遇到用户的权限管理,通常有一种方法通过shiro框架来进行权限管理,现在我要说的是一种简单的权限管理方法,可以在jsp页面中添加java方法判断登陆账号的权限管理值来确定管理权限,比如设置管理员权限默认值为0,普通用户的管理权限默认值为1,我们可以在jsp页面中引用这个字段值, 代码 // jsp引用java HttpSession ...
js对权限控制
刘维的专栏
01-07 7579
/****************************************************************刘维   2013/11/27******************************************************************/ var privilege={          //权限变量 /***************
jsp权限控制jsp自定义标签实现
08-12
Struts2拦截器:需要配置action进行拦截。而且。有时候我们并不想让用户看到不改属于他操作的按钮。(sturts可以进行判断,但有写复杂) 使用jsp自定义标签的功能实现权限控制。(如果用户没有某个模块的删除权限,就不现实这个删除按钮) 在整个项目中所有的页面都可以引入自定义的标签去做到权限控制。 自定义标签文件 删除 可以控制页面中的每个元素,只需要一个类就能够实现
分布式自定义权限控制-01 JSP页面权限控制
zxysshgood的博客
06-29 1799
      如果提前正常一个java EE项目,权限控制是必不可少的一环。无论干嘛都绕不过权限控制一说。比如,没有权限的人不能发起页面请求,ajax请求,比如JSP页面有权限的人和没有权限的用户,是两种展现。有些人有查询按钮,有些人没有查询按钮等。        如上方提到的相关权限控制是在平常不过的要求了。页面请求,和ajax请求一般是可以通过Spring 或者 structs 的拦截器,对相关...
基于jsp+servlet+mysql+bootstrap的权限设计
又菜又爱玩的博客
09-11 501
2.查询并保存权限的servlet 3.userService用户接口类 4.UserServiceImpl用户接口实现类 5.UserDao用户数据库接口类 6.UserDaoImpl数据库设计 7.角色 7.1.角色接口类 7.2 角色接口实现类 7.3角色数据库接口类 7.4角色数据库接口实现类 8.权限 8.1权限接口类 8.2权限接口实现类 8.3权限数据库接口类 8.4权限数据库接口实现类 9.拦截器 9.1编码拦截器 9.2url拦截(判断是否登录) 10.jsp
JSP页面使用tld标签扩展实现页面元素的权限控制
Amazing66的博客
12-06 968
相比于shiro、security这种专门的安全框架而言,如果只是单纯的想对页面按钮实现权限控制,那么使用tld标签扩展的功能 就可以实现。主要是配置少、轻量级、方便实现的优点 让我选择了它。但缺点是 只能在JSP页面中使用。 首先创建tld标签配置文件 <!DOCTYPE taglib PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.2//EN" "http://java.sun.com/dtd/w.
JSP权限控制(一)
dizhang的专栏
07-15 2844
JSP权限控制(一) 近几天不是很忙,就想看看关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子。   先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role Based  Access Control) 的相关文章,虽然已经是个老话题了 , 但如果要在一个大的项目中实现权限控制
jsp权限控制
11-17
#### 知识点JSP权限控制设计 在JSP中实现权限控制,可以通过以下几个关键步骤: 1. **用户权限字段设计**:在数据库的用户表中增加一个字段(例如`UserPopedom`),用于存储该用户的所有权限信息。这些权限...
JAVAWEB权限控制源码
08-02
2.使用进制进行权限控制 3.完整代码,有大部分注释 4.包括用户模块、部门、帐号管理、菜单模块、权限管理 5.里面有用到jquery.colorbox、JQuery zTree 等JS插件,友好的界面,整齐好看 6.三层架构、比较完整的底层...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
jsp做的权限管理系统
09-09
jsp 权限管理系统,完整原代码,可在Myeclipse 6.0.1下直接运行。
jsp的登录权限设置命令
05-07
命令跳转,在java web中运用jstl进行用户登录的权限设置
jsp用户权限管理系统
12-06
常见的权限控制框架有Spring Security、Apache Shiro等,它们提供了角色、权限、访问控制列表等概念。 5. **角色与权限**:用户通常被分配到不同的角色,每个角色具有特定的权限集合。这种方式便于批量分配权限,...
javaweb JAVA JSP权限管理系统(ssm权限系统用户权限后台管理系统)
m0_69711799的博客
11-17 298
JSP权限管理系统(ssm权限系统用户权限后台管理系统)
JSP页面设置登录访问权限
热门推荐
SuperNova
09-08 1万+
如何限制页面必须在满足某些条件后才能访问?比如下面这个例子: 这是一个简单的登录界面,输入用户名和密码后,经过后台的验证,进入到相应的主界面按照常理来说是这样的,但是我们发现,当我们直接访问主界面main.jsp时,却也可以直接进入到主界面,比如:(注意URL)这就对系统造成了很大的安全隐患 怎么限制主界面必须在登录之后才能访问呢?其实也很简单首先,我们在后台验证用户正确登录之后,跳转到相应页面
自定义jsp标签实现按钮权限控制
weixin_42184707的博客
05-15 3741
一、了解jsp自定义标签  自定义标签是用户定义的JSP语言元素。当JSP页面包含一个自定义标签时将被转化为servlet,标签转化为对tag handler的对象的操作,即当servlet执行时Web 容器调用那些操作。  好处:1.JSP标签主要用来显示结果数据,用来沟通表示层和业务逻辑层,把页面美工工作和程序编写分开。     2. 自定义标签方便JSP页面代码的维护,代码重用。、按钮权限...
JSP权限控制
sun5208的专栏
10-24 1413
感觉文章很好就转一下,首先感谢这位仁兄!http://www.blogjava.net/wake/archive/2006/04/28/43843.html近几天不是很忙,就想看看关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子。 先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role
项目总结之jsp访问权限
weixin_41818920的博客
07-12 270
设置除login.jsp外的其他jsp只能通过管理员登陆后进行访问如没有事先登录,自动跳转到登录界面。如图:事先在登录servlet验证密码正确之后,使用session保存管理员信息如在后面的jsp访问当中成功获取到相应的session信息,即可正常访问jsp接下来的内容否则转到登录界面进行登录验证密码正确后servlet代码如下:HttpSession session = request.get...
shiro 在jsp权限控制
最新发布
10-10
JSP中使用Shiro进行权限控制的基本步骤如下: 1. 配置Shiro:在web.xml中配置Shiro的过滤器。可以使用Shiro提供的Filter,例如DelegatingFilterProxy。 2. 编写Shiro配置文件:创建一个shiro.ini或shiro.xml文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值