[color=red][size=x-large]
利用 Filter 限制用户浏览权限
1). 具体要求:
> 只有用户在拥有了对应的权限后才可访问对应的页面:
* 需要权限保护的页面有 authority 目录下的: article1.jsp, article2.jsp, article3.jsp, article4.jsp
> 可以在 authority/authority-manager.jsp 页面中查询指定用户的权限, 和修改指定用户的权限.
> 访问 authority 目录下的: article1.jsp, article2.jsp, article3.jsp, article4.jsp 也必须登录后才可以访问. 对应前边的登录过滤器
2). 类:
* Authority: 封装权限信息:
/**
* 对应的 uri 地址, 类似于 /authority/article1.jsp
*/
private String uri;
/**
* 显示再页面上的权限的名字: article1
*/
private String displayName;
* AuthorityDao: 实现对权限的查询, 修改操作:
//获取全部的权限
public static List<Authority> getAll()
//获取指定用户的权限
public static List<Authority> getAuthoritiesByName(String name)
//修改指定用户的权限为 authories
public static void updateAuthorities(String name, String[] authories)
* AuthorityFilter: 权限过滤器
* AuthorityManagerServlet: 处理权限请求的 Servlet
* LoginFilter: 处理登录的 Filter
3). JSP:
* authority-manager.jsp: 管理权限
* 403.jsp: 在用户没有权限的时候, 显示该页面提示用户
* ...
4). 实现
> 实现权限管理:
* 参与的 JSP: authority-manager.jsp
* 参与的 Java 类: Authority, AuthorityDao, AuthorityManagerServlet
* Authority.java
* AuthorityDao.java:
> 因为没有使用数据库, 所以采用一些静态成员保存权限和用户信息.
private static List<Authority> authorities = null;
private static Map<String, List<Authority>> userAuthorities = null;
> 修改权限时的 checkbox 的值如下: value 的 - 的前边是 uri, 后边是 displayName
<input type="checkbox" name="authority" value="/authority/article2.jsp-article2" checked="checked" />article2<br/>
* authority-manager.jsp: 使用 JSTL 和 EL
> 实现检查用户是否登录的过滤器.
* 拦截 /authority/*, 此时 /AuthorityManagerServlet 不在拦截的范围内.
* 不需要受保护的 url 列表:
/authority/login.jsp,/authority/login-process.jsp,/authority/articles.jsp,/authority/authority-manager.jsp, /authority/logout.jsp
> 实现权限过滤: 在请求页面时, 通过 AuthorityFilter 检查登录用户是否有对应的权限, 若没有权限, 转发到 403.jsp 页面; 若有权限, 则放行.
[/size][/color]
源代码在下面可以下载,没有截图(偷点小懒)
利用 Filter 限制用户浏览权限
1). 具体要求:
> 只有用户在拥有了对应的权限后才可访问对应的页面:
* 需要权限保护的页面有 authority 目录下的: article1.jsp, article2.jsp, article3.jsp, article4.jsp
> 可以在 authority/authority-manager.jsp 页面中查询指定用户的权限, 和修改指定用户的权限.
> 访问 authority 目录下的: article1.jsp, article2.jsp, article3.jsp, article4.jsp 也必须登录后才可以访问. 对应前边的登录过滤器
2). 类:
* Authority: 封装权限信息:
/**
* 对应的 uri 地址, 类似于 /authority/article1.jsp
*/
private String uri;
/**
* 显示再页面上的权限的名字: article1
*/
private String displayName;
* AuthorityDao: 实现对权限的查询, 修改操作:
//获取全部的权限
public static List<Authority> getAll()
//获取指定用户的权限
public static List<Authority> getAuthoritiesByName(String name)
//修改指定用户的权限为 authories
public static void updateAuthorities(String name, String[] authories)
* AuthorityFilter: 权限过滤器
* AuthorityManagerServlet: 处理权限请求的 Servlet
* LoginFilter: 处理登录的 Filter
3). JSP:
* authority-manager.jsp: 管理权限
* 403.jsp: 在用户没有权限的时候, 显示该页面提示用户
* ...
4). 实现
> 实现权限管理:
* 参与的 JSP: authority-manager.jsp
* 参与的 Java 类: Authority, AuthorityDao, AuthorityManagerServlet
* Authority.java
* AuthorityDao.java:
> 因为没有使用数据库, 所以采用一些静态成员保存权限和用户信息.
private static List<Authority> authorities = null;
private static Map<String, List<Authority>> userAuthorities = null;
> 修改权限时的 checkbox 的值如下: value 的 - 的前边是 uri, 后边是 displayName
<input type="checkbox" name="authority" value="/authority/article2.jsp-article2" checked="checked" />article2<br/>
* authority-manager.jsp: 使用 JSTL 和 EL
> 实现检查用户是否登录的过滤器.
* 拦截 /authority/*, 此时 /AuthorityManagerServlet 不在拦截的范围内.
* 不需要受保护的 url 列表:
/authority/login.jsp,/authority/login-process.jsp,/authority/articles.jsp,/authority/authority-manager.jsp, /authority/logout.jsp
> 实现权限过滤: 在请求页面时, 通过 AuthorityFilter 检查登录用户是否有对应的权限, 若没有权限, 转发到 403.jsp 页面; 若有权限, 则放行.
[/size][/color]
源代码在下面可以下载,没有截图(偷点小懒)