开发学院WEB开发Jsp B/S系统权限控制的一种简单方法 阅读

B/S系统权限控制的一种简单方法

 2008-01-05 20:10:27 来源:WEB开发网   
核心提示: 看了网上一些关于权限控制的帖子,越看越迷糊,B/S系统权限控制的一种简单方法,什么用AOP(aspect Oriented PRogramming,面向方面编程),用容器,假如没有此permission就不包含此代码,此功能由Tag来完成(不会写Tag?不要紧,RBAC(基于角色的访问控制方法),SSO,Jive的P
  看了网上一些关于权限控制的帖子,越看越迷糊,什么用AOP(aspect Oriented PRogramming,面向方面编程),用容器,RBAC(基于角色的访问控制方法),SSO,Jive的Proxy模式等等等等,且又是role又是group,真是头都大了,先写个简单的实现方法,以后再研究高深的。

  此方法不依靠容器 框架,适用于小系统(主要jsp页面要少于100,因为是硬编码到JSP),适用于要精确控制页面field的情况较多的系统。

  (插句话:要分清权限控制与业务逻辑,业务逻辑就是情况由系统运行时的某些条件决定,如学生治理系统中,某一学生进入系统,只能看自己的记录,因为可看的记录是由学号来决定的,所以这是业务逻辑,而又如学生不能看老师的记录,这是有学生的身份来决定的,所以这是权限控制。)

  好了,进入正题!
  建表:


  user(user信息: userID userPassWord 等)
  role(role描述:roleID roleDesc)
  permission(permission描述:permissionID permissionDesc)
  user-role(user role对应关系表:userID roleID)
  role-permission(role permission对应关系表:roleID permissionID)
  user-permission(user permission对应关系表:userID permissionID)


  重要申明:

  1 此处role没有继续关系,只是permission的集合

  2 user-permission表只是为了方便,其数据是根据user-role role-permission两表得来,只有在user-role role-permission两表有更新的时候更新此表,并不能单独赋予user某个permission,只能赋予user一个或多个role。

  3 permission的分配,这是一个难点,很多比较复杂的权限控制系统也是因为这个才发展出来,此处把它尽量想简单,不考虑业务逻辑,以页面为视角,分两层,首先是需要控制的jsp页面,然后是需要控制的页面field(包括link,text,textbox,button等等),field这一层还有privilege之分(R和W,即可读和可写)

  基本思路:进入JSP页面时,检查用户信息,查到用户有此permission就包含此代码,假如没有此permission就不包含此代码,此功能由Tag来完成(不会写Tag?不要紧,抄!)。看代码吧!

   1 建表(如上)
   2 建两个class(bean) (UserProfile是用户基本信息  UserPermission是permission )


   UserProfile.java:
package com.××.××.××;
import java.util.Collection;

public class UserProfile {
  private String userId;
  private String userType;
  private String companyNo;
  private String companyName;
  private String companyType;
  private Collection userPermissions;








  public String getUserId() {
   return userId;
  }
  public void setUserId(String userId) {
   this.userId = userId;
  }
  public String getUserType() {
   return userType;
  }
  public void setUserType(String userType) {
   this.userType = userType;
  }
  public String getCompanyNo() {
   return companyNo;
  }
  public void setCompanyNo(String companyNo) {
   this.companyNo = companyNo;

Tags:系统 权限 控制

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接