基于webwork拦截器的权限设计
前段时间逛javaeye获得灵感,部分重新设计了公司项目的权限功能(如有雷同纯属巧合),现在在博客里总结一下。
原理是利用webwork拦截器拦截action,但细节处千差万别,下面看看我的。
先假设一个场景:
1、表单A有CRUD4个操作,分别对应4个权限。
2、每个操作分别对应若干action,如Create操作里包括Aaction、Baction。
3、当用户拥有C权限时,他应该能执行Aaction、Baction。
下面是我的实现:
1、将用户权限放在用户表的权限字段中,如放入字符串“C-R-U-D”。
2、新建一个Purview类,是一个普通java类用于设置权限。如:
3、用户登录时,根据权限字段中的记录,将Purview类中的属性设为true,然后将设置好的Purview类放入session中。如:
4、当用户执行某个action时,拦截器从session中获取当前用户权限,判断其是否具有访问权限。如:
大概先写这么多吧。
原理是利用webwork拦截器拦截action,但细节处千差万别,下面看看我的。
先假设一个场景:
1、表单A有CRUD4个操作,分别对应4个权限。
2、每个操作分别对应若干action,如Create操作里包括Aaction、Baction。
3、当用户拥有C权限时,他应该能执行Aaction、Baction。
下面是我的实现:
1、将用户权限放在用户表的权限字段中,如放入字符串“C-R-U-D”。
2、新建一个Purview类,是一个普通java类用于设置权限。如:
public class Purview{
private Boolean create;
private Boolean retrieve;
private Boolean update;
……
public Boolean getCreate() {
return create;
}
public void setCreate(Boolean create) {
this.create = create;
}
……
}
3、用户登录时,根据权限字段中的记录,将Purview类中的属性设为true,然后将设置好的Purview类放入session中。如:
String yhql = yonghu.getLanaction();//lanaction是权限字段
String[] lanac;
if(StringHelper.isNotEmpty(yhql)){
Purview purview = new Purview();
lanac = yhql.split("-");
for(int i=0,len=lanac.length; i<len; i++){
if(lanac[i].equals("C")){
purview.setCreate(true);
}
else if(lanac[i].equals("R")){
purview.setRetrieve(true);
}
……
}
Map map = ActionContext.getContext().getSession();
map.put("quanli", purview);
}
4、当用户执行某个action时,拦截器从session中获取当前用户权限,判断其是否具有访问权限。如:
if(purview!=null){//purview为从session中获取的Purview类
if(action instanceof RenAction){//action为Aaction对应的Action类
if(actionName.equals("Aaction")//actionName为xml里的action名
|| actionName.equals("Baction") ){
if(!purview.getCreate()){
throw new Exception("对不起,您没有此权限");
}
}
else if(actionName.equals("Caction")){
if(!purview.getRetrieve()){
throw new Exception("对不起,您没有此权限");
}
}
……
……
大概先写这么多吧。