velocity 模板引擎中,自带了一些工具类。比如:
- rc 获取上下文
- DateTool 日期操作类
- 等等
这些自带的工具类在配置velocity模板引擎解析器时可以指定相关的工具类。如下代码~
<!--配置试图解析器-->
<bean id="viewResolver"
class="org.springframework.web.servlet.view.velocity.VelocityViewResolver">
<property name="cache" value="false"/>
<property name="prefix" value=""/>
<property name="suffix" value=".vm"/>
<property name="contentType" value="text/html;charset=utf-8"/>
<property name="toolboxConfigLocation" value="/WEB-INF/toolbox.xml"/>
<property name="dateToolAttribute" value="dateTool"/>
<property name="numberToolAttribute" value="numberTool"/>
<property name="exposeRequestAttributes" value="true"/>
<property name="requestContextAttribute" value="rc"/>
</bean>
其中定义了rc\dateTool\numberTool工具类。
在自带的方法满足不了页面处理时,有时候想自定义一些方法。在toolbox.xml中配置tool,然后指定具体的代码处理类,页面就可以调用后台java代码啦。既然velocity模板引擎给了我们能力,那对于页面权限的控制很容易可以想到可以用自定义工具类来实现某元素权限的判断。
类似伪代码:
#if($PowerUtils.hasPermition("user_add"))
<button name="add" value=“增加”></button>
#end
PowerUtils类大概的处理逻辑是:
1、获取当前登录用户的权限资源列表
2、判断资源列表中是否包含“user_add”资源编码,即是否有"用户增加"功能权限。
3、反馈boolean 值
如果你使用了shiro或是spring-security权限框架,一般可以考虑使用页面标签<shiro …等,但是velocity目前不支持shiro的标签,只能类似上面调用后台java类的写法。
界面的权限控制了显示,如果能做到服务地址的控制,将会提高系统的安全性。这种级别的话,如果不适用框架,自己写比较费劲,可能用到的技术:自定义注解,AOP获取方法注解,判断权限,大体如此,如果使用权限框架,他们提供了现成的方法使用,非常方便。