当前位置:首页 > 全部子站 > IT > 思科认证

Struts中关于用户权限限定的建议

来源:长理培训发布时间:2017-12-23 15:48:56

 百度广告

   关于web系统的权限限定问题,可能有很多的办法,我在这里说一下自己的一些小技巧,起到抛砖引玉的作用,忘各位指正:

   系统中一个角色包含多个用户,角色和用户之间最好采用一对多,以免发生混乱;

   自系统初起的时候,系统只有一个超级用户(例如root),有两个默认角色,即游客角色和注册用户角色;

   超级用户可以在后续管理中添加角色,默认角色不能删除,其他角色的删除中如果这个角色下有用户,可以采取不允许删除或删除后这些用户的角色自动转为注册用户角色;

   每个角色用户访问系统某些功能模块的权利,某个角色是否可以访问某个功能模块可以由超级用户修改,这里也包括默认角色所对应的权限模块;

   角色与系统模块之间是多对多的关系,即一个角色可以访问多个模块,一个模块可能有多个角色访问;

   我们这里主要谈struts,一个模块包含多个action,action和模块是多对一的关系;

   这样用户访问某个action时会映射到系统的某个模块,这是系统取出当前用户所在的角色,看看这个角色是否有访问此模块的权限,即可以实现struts中的权限设定;

这一过程主要包含以下几块:
2.struts-config.xml中,每个action的配置中都有一个role属性,这个属性中填写一个模块的名称,这样就建立起了action与模块的多对一关系;
4.扩展struts中的requestProcessor类(注意如果使用tiles框架,需要继承另外一个tiles专用的类),复写其中的processorRole方法(其他方法也很有用,例如preprocess方法,可以设置提交的字符串都为UTF-8,也可以用户写一些系统的访问日志等等),在这个方法中可以取出当前action的模块名称和当前用户的角色,这样就可以实现对于用户的权限限定了。

   这样就可以实现权限限定了,这个方法的优点是即便是从某些地方找到下载或者访问某些重要功能的链接仍然可以拦截,缺点是每次访问都需要判定,但做好适当的缓存即可,如何做缓存因各系统而异;如果有特殊需要还可以限定ip,甚至一个session对应一个id,如果换了ip则session立即销毁,防止用户转贴了sessionid所假冒的用户。

责编:罗莉

发表评论(共0条评论)
请自觉遵守互联网相关政策法规,评论内容只代表网友观点,发表审核后显示!

国家电网校园招聘考试直播课程通关班

  • 讲师:刘萍萍 / 谢楠
  • 课时:160h
  • 价格 4580

特色双名师解密新课程高频考点,送国家电网教材讲义,助力一次通关

配套通关班送国网在线题库一套

课程专业名称
讲师
课时
查看课程

国家电网招聘考试录播视频课程

  • 讲师:崔莹莹 / 刘萍萍
  • 课时:180h
  • 价格 3580

特色解密新课程高频考点,免费学习,助力一次通关

配套全套国网视频课程免费学习

课程专业名称
讲师
课时
查看课程
在线题库
面授课程更多>>
图书商城更多>>
在线报名
  • 报考专业:
    *(必填)
  • 姓名:
    *(必填)
  • 手机号码:
    *(必填)
返回顶部