授权
授权通常会在认证后进行,意味着谁可以访问什么。 Mentawai采用简单有效的方法进行用户授权。在Mentawai中,你可以告诉框架一个授权用户属于那些组,以便于稍后web应用根据这些信息判断哪些访问该接受还是拒绝。例如,你可能有些action必须需要ADMIN组才可以访问,对JSP页同样如此。 更有趣的是,一个JSP页面可能对某些用户隐藏一块或一部分。
告诉框架用户属于哪个组:
public class LoginAction extends BaseLoginAction {
@Override
public String execute() {
// (...)
setSessionObj(u);
setSessionGroups(u.getGroup());
setSessionLocale(u.getLocale());
return SUCCESS;
}
}
你可以在setSessionGroups方法中传一到多个字符串(”admin”, “editor”, “guest”, 等)。它的参数是可变参数。此外,你也可以传递一个到多个枚举类 (Group.ADMIN, Group.EDITOR, Group.GUEST, 等)。
授权一个action只对某些组有效:
action("/User", UserAction.class, "edit")
.authorize(Group.ADMIN, Group.MASTER)
.on(ACCESSDENIED, exception("Only admin and master can modify a user!"))
.on(ERROR, fwd("/jsp/user/edit.jsp"))
.on(SHOW, fwd("/jsp/user/edit.jsp"))
.on(UPDATED, fwd("/jsp/index.jsp"));
NOTE: 上述第二行等同于 .authorize(“ADMIN”, “MASTER”)
授权实际上是一个被实现的过滤器,一旦授权失败,就会返回一个ACCESSDENIED的结果。这个结果配置后,就会抛出有信息提示的异常结果。
TIP: 除了抛出异常, 你也可以配置 ACCESSDENIED 结果重定向到一个友好页,用来对用户解释用户无权访问该action 。
一个JSP页只授权给某些组:
<%@ page contentType="text/html; charset=UTF-8"%>
<%@taglib prefix="mtw" uri="http://www.mentaframework.org/tags-mtw/"%>
<mtw:requiresAuthorization groups="ADMIN, MASTER" />
NOTE: 无论你在应用配置中心对ACCESSDENIED配置的结果如何,在此都将是如此。
一个JSP页面的部分授权给某些组:
<%@ page contentType="text/html; charset=UTF-8"%>
<%@taglib prefix="mtw" uri="http://www.mentaframework.org/tags-mtw/"%>
<mtw:hasAuthorization groups="ADMIN, MASTER">
Only authorized people can see this.
</mtw:hasAuthorization>
TIP: 你可以在上述标签上使用属性negate=”true” 来反转条件,因此你可以轻易实现类似于else 式的声明。