WEB项目按页面链接授权的实现(原理与Java例子)


在Web项目开发中,用户管理授权是很重要的一部分,下面介绍如何通过页面链接来授权。

页面授权级别分为三级

权限验证可以分为三级: 不需要任何验证、仅需要登录验证、需要权限验证 。

对于第三级“需要权限验证”则需要落实到实际的权限中。权限的定义是根据系统的实际要求来设计的,例如我们一个简单新闻系统中只有两种权限:文章管理、系统管理 。而复杂的系统可以细分为“操作+资源=权限”,例如“查看+文章=查看文章”。更复杂的系统就扩展为角色、用户组等,但不管是角色还是用户组,它们都是由多个权限组成的,权限就是最原子的部分。这个就不过多讨论,还是看看如何进行页面授权.

页面授权方式分为两种

1)按页面/目录授权。例如 news/news.jsp 的权限为“ 文章管理”;   “admin/”目录的权限为“系统管理”。按目录授权的优点就是一次性把整个目录下的页面都统一授权,避免了一个一个页面授权。

2)按正则表达式授权。例如 表达式是“*.jsp”, 级别设为“仅需要登录验证”,则用户登录后才能浏览所有的jsp页面。

页面授权步骤

以页面/news/news.jsp来说明。

1)用户访问页面/news/news.jsp。

2)从页面授权表中查找页面/news/news.jsp的权限。

3)如果找到则返回;如果找不到,则继续查找此页面所属的目录/news/的权限。

4)如果找到则返回;如果找不到,则继续从正则表达式授权列表中匹配/news/news.jsp的权限。

5)从步骤2)-4)中如果找到页面权限,则和用户的权限做比较,如果用户的权限中包含了页面权限中的一种,则有权访问此页面;如果没有找到页面权限,则此页面没有设置权限,可以被所有用户访问。

从上面可以看出,授权方式也是有优先级的,先是“页面”,再到“目录”,最后是“正则表达式”。

用Java实现的技术要点

1)用过滤器Filter实现每个页面访问前做权限验证。

2)用HashMap保存页面/目录授权列表,查找会比较快。

3)用正则表达式匹配成功的页面也应该存放到页面/目录授权列表以便下次直接从HashMap中访问。

你可能感兴趣的:(WEB项目按页面链接授权的实现(原理与Java例子))