在Web项目开发中,用户管理授权是很重要的一部分,下面介绍如何通过页面链接来授权。
页面授权级别分为三级
权限验证可以分为三级: 不需要任何验证、仅需要登录验证、需要权限验证 。
对于第三级“需要权限验证”则需要落实到实际的权限中。权限的定义是根据系统的实际要求来设计的,例如我们一个简单新闻系统中只有两种权限:文章管理、系统管理 。而复杂的系统可以细分为“操作+资源=权限”,例如“查看+文章=查看文章”。更复杂的系统就扩展为角色、用户组等,但不管是角色还是用户组,它们都是由多个权限组成的,权限就是最原子的部分。这个就不过多讨论,还是看看如何进行页面授权.
页面授权方式分为两种
1)按页面/目录授权。例如 news/news.jsp 的权限为“ 文章管理”; “admin/”目录的权限为“系统管理”。按目录授权的优点就是一次性把整个目录下的页面都统一授权,避免了一个一个页面授权。
2)按正则表达式授权。例如 表达式是“*.jsp”, 级别设为“仅需要登录验证”,则用户登录后才能浏览所有的jsp页面。
页面授权步骤
以页面/news/news.jsp来说明。
1)用户访问页面/news/news.jsp。
2)从页面授权表中查找页面/news/news.jsp的权限。
3)如果找到则返回;如果找不到,则继续查找此页面所属的目录/news/的权限。
4)如果找到则返回;如果找不到,则继续从正则表达式授权列表中匹配/news/news.jsp的权限。
5)从步骤2)-4)中如果找到页面权限,则和用户的权限做比较,如果用户的权限中包含了页面权限中的一种,则有权访问此页面;如果没有找到页面权限,则此页面没有设置权限,可以被所有用户访问。
从上面可以看出,授权方式也是有优先级的,先是“页面”,再到“目录”,最后是“正则表达式”。
用Java实现的技术要点
1)用过滤器Filter实现每个页面访问前做权限验证。
2)用HashMap保存页面/目录授权列表,查找会比较快。
3)用正则表达式匹配成功的页面也应该存放到页面/目录授权列表以便下次直接从HashMap中访问。