控制客户端访问是开发一个基于B/S的架构的系统的开发者必须考虑的问题。JSP或SERVLET规范的基于配置文件的安全策略对资源的控制是以文件为单
位的,即只可以定义某个视图全部可以或全部不能被访问。一个比较复杂的系统往往要要求对视图的一部分(如JSP页面里的一个按钮)提供访问控制,只允许被
某种角色的用户访问。如果采用可编程的安全策略,因为对用户角色和操作的定义在开发时不能定义,而且这种策略加大了程序员的工作量,它可能不是一种好的办
法。
我采用定制标签库和和配置文件来解决这个问题:把要权限控制的JSP页面元素如BUTTON,作为标签的内容。为受保护的内容起一个唯一的名称,把这个名称作为标签的一个属性。某个角色对某个页面元素或一组页面元素是否有权限,在XML配置文件中描述。
例如,下面的JSP页面有“详细”和“修改”两个按钮。
<%@ taglib uri="http://mytag" prefix="custTag" %>
<html>
<head>
<title>test</title>
</head>
<body >
<form name="form1" >
<table width="600" border="0" cellspacing="0" cellpadding="2" >
<tr>
<td>
<custTag:JspSecurity elementName="employeedetail" >
<input type="button" name="detail" value="详细" >
</custTag:JspSecurity>
<custTag:JspSecurity elementName="employeemodify" >
<input type="button" name="modify" value="修改" >
</custTag:JspSecurity>
</td>
</tr>
</table>
<br>
</form>
</body>
下面XML配置文件内容表示对角色为common的用户,只对名为employeedetail
的页面元素即“详细”按钮有权限,对角色为“admin”的用户,对名为employeedetail
和employeemodify的页面元素即两个按钮都有权限。
<?xml version="1.0" encoding="GB2312"?>
<security>
<htmlElement name="employeedetail" >
<roleName name="common" />
<roleName name="admin" />
</htmlElement>
<htmlElement name="employeemodify" >
<roleName name="admin" />
</htmlElement>
</security>
定制标签类JspSecurityTag继承了BodyTagSupport类。BodyTagSupport有一个变量bodyContent指向起始
标志和结束标志之间的内容。JspSecurityTag的私有静态变量roleList保存从XML文件中取到角色和页面元素的对应集合,私有变量
ElementName对应页面元素的名称。当解析该定制标签时,首先先取到页面元素的名称,再取到当前用户的角色,如果角色有该页面元素的权限,就显示
标签正文(即页面元素),否则不显示。
Pagekage com.presentation.viewhelper.JspSecurityTag;
import javax.servlet.jsp.tagext.*;
import javax.servlet.jsp.*;
import java.util.*;
import org.xml.sax.*;
import org.xml.sax.helpers.*;
import org.w3c.dom.*;
import java.io.*;
import javax.xml.parsers.*;
public class JspSecurityTag extends BodyTagSupport {
//保存从XML文件中取到角色和页面元素的对应集合
private static ArrayList roleList;
//页面元素的名称
private String elementName;
public void setElementName(String str)
{
this.elementName=str;
}
public int doAfterBody() throws JspException{
if(roleList==null)
{
roleList=getList();
}
try{
//如果认证通过就显示标签正文,否则跳过标签正文,就这么简单
if(isAuthentificated(elementName))
{
if(bodyContent != null){
JspWriter out=bodyContent.getEnclosingWriter();
bodyContent.writeOut(out);
}else
{
}
}
}catch(Exception e){
throw new JspException();
}
return SKIP_BODY;
}
//从XML配置文件中取到角色和页面元素的对应,保存到静态的ArrayList
private ArrayList getList()
{
DocumentBuilderFactory dbf =
DocumentBuilderFactory.newInstance();
DocumentBuilder db = null;
Document doc=null;
NodeList childlist = null;
String elementName;
String roleName;
int index;
ArrayList theList = new ArrayList();
try{
db = dbf.newDocumentBuilder();
}catch(Exception e)
{
e.printStackTrace();
}
try{
doc = db.parse(new File("security.xml"));
}catch(Exception e)
{
e.printStackTrace();
}
//读取页面元素列表
NodeList elementList = doc.getElementsByTagName("htmlElement");
for(int i=0;i<elementList.getLength();i++)
{
Element name = ((Element)elementList.item(i));
//页面元素的名称
elementName = name.getAttribute("name");
//该页面元素对应的有权限的角色的列表
NodeList rolNodeList = ((NodeList)name.getElementsByTagName("roleName"));
for(int j=0;j<rolNodeList.getLength();j++)
{
//有权限的角色的名称
//roleName = ((Element)rolNodeList.item(j)).getNodeValue();
roleName = ((Element)rolNodeList.item(j)).getAttribute("name");
theList.add(new ElementAndRole(elementName,roleName));
}
}
return theList;
}
//检查该角色是否有该页面元素的权限
private boolean isAuthentificated(String elementName)
{
String roleName = "";
//在用户登陆时把该用户的角色保存到SESSION中,这里只是直接从SESSION中取用//户角色。
roleName=this.pageContext.getSession().getAttribute("rolename”);
// roleList包含elementName属性为elementName,roleName属性为roleName的//ElementAndRole对象,则该角色有该页面元素的权限
if(roleList.contains(new ElementAndRole(elementName,roleName)))
{
return true;
}
}
return false;
}
//表示角色和页面元素的对应的关系的内部类
class ElementAndRole{
String elementName;
String roleName;
public ElementAndRole(String elementName,String roleName)
{
this.elementName=elementName;
this.roleName=roleName;
}
public boolean equals(Object obj)
{
return(((ElementAndRole)obj).elementName.equals(this.elementName)&&((ElementAndRole)obj).roleName.equals(this.roleName));
}
}
}
在标签库能被JSP页面使用前,要做以下三个步骤
1、 在JSP页面中包括一个taglib元素,确定需要加载到内存的标签库。前面的JSP文件的第一行:<%@ taglib uri="http://mytag" prefix="custTag" %>做的就是这件事。
2、 在配置文件web.xml中使用taglib元素确定TLD文件的位置。在web.xml中增加:
<taglib>
<taglib-uri>http://mytag</taglib-uri>
<taglib-location>
/WEB-INF/mytag.tld
</taglib-location>
</taglib>
3、TLD文件必须使用taglib元素标识每个定制标签极其属性。
下面是使用这个标签库对应的TLD文件
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE taglib
PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.1//EN"
"http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">
<taglib>
<tlibversion>1.0</tlibversion>
<jspversion>1.1</jspversion>
<shortname>myTag</shortname>
<uri/>
<tag>
<name>JspSecurity</name>
<tagclass>com.presentation.viewhelper.JspSecurityTag</tagclass>
<info>
JspSecurityTag
</info>
<attribute>
<name>elementName</name>
<required>true</required>
<rtexprvalue>true</rtexprvalue>
</attribute>
</tag>
</taglib>
分享到:
相关推荐
总结来说,"简单JSP标签实现迭代"这个实例涉及了JSP自定义标签的创建和使用,包括TLD文件的配置、标签处理类的编写以及标签文件的设计。通过这种方式,我们可以更好地组织和管理代码,提高开发效率,并使得JSP页面...
3. **标签库描述文件(TLD, Tag Library Descriptor)**:TLD文件是一个XML文件,它定义了标签库中各标签及其处理类之间的映射关系,类似于web.xml配置文件。 4. **标签处理类(Tag Handle Class)**:处理类是Java类,...
在Java Server Pages (JSP)应用中,web.xml配置文件扮演着至关重要的角色,它不仅定义了应用的基本结构,还负责处理各种运行时错误。本文将深入探讨如何通过web.xml来实现错误处理页面的定制,重点是404(Not Found...
6. **标签库**:JSP页面可能使用了自定义标签库(JSTL)或Apache Struts的标签,这些标签可以简化页面代码,提高可读性和可维护性。例如,`<c:forEach>`用于遍历集合,`<fmt:formatDate>`用于格式化日期等。 7. **...
4. **配置集成**:在Spring的配置文件中,需要配置AOP的切面和自定义标签库,确保它们在系统启动时能够被正确加载和使用。 5. **权限数据模型**:设计合理的权限数据模型,如角色、权限、用户角色关系等,以便于在...
3. 使用标签:在JSP页面中,用引入的标签库前缀加上标签名称来使用,如`,其中`property`属性对应ActionForm对象的属性名。 4. 绑定数据:Struts标签会自动将表单数据绑定到ActionForm对象,然后由Struts控制器处理...
Model1架构是早期的JSP开发模式,将业务逻辑、视图和控制紧密耦合在一起,主要由JSP页面完成所有处理。 8. **EL表达式、JSTL标签**: - **EL(Expression Language)**:用于简化JSP页面中的数据访问,可以方便地...
- **JSP页面配置**:JSP文件中,可以通过`<jsp:useBean>`,`<jsp:setProperty>`等指令来实例化和配置JavaBean,或者使用EL(Expression Language)表达式直接访问数据。 4. **样式新颖** JSP允许开发者结合CSS...
JSP-API是Java Servlet API的一部分,提供了JSP相关的接口和类,如JspPage、JspContext、PageContext等,供开发者在编写JSP页面或自定义标签库时使用。这些API定义了如何在JSP页面中访问请求、响应、会话等对象,...
在JSP页面中,首先需要引入ECharts的JavaScript库。这通常通过在HTML的`<head>`部分添加CDN链接或本地引入js文件来完成。例如: ```html ...
1. **编译指令**: 在JSP页面中,你可以使用`<%@ page ... %>`指令来控制编译行为。例如,`pageEncoding`指定源文件的编码,`isThreadSafe`决定是否允许多线程访问同一个JSP实例,`contentType`定义HTTP响应的MIME...
4. **使用标签库**: 利用JSTL和其他定制标签库,减少代码重复,提高可读性。 总之,JSP作为Java Web开发的重要组成部分,提供了丰富的功能和灵活性,帮助开发者构建高性能、可扩展的Web应用程序。理解并熟练掌握JSP...
5. **使用自定义标签**:在JSP页面中通过`<%@ taglib %>`指令引入标签库,并在需要的地方使用自定义标签。 6. **重启服务器**:确保服务器重新加载应用,使更改生效。 以创建一个简单自定义标签为例,假设我们要...
- **脚本元素**:在JSP页面中可以直接编写Java代码,用于控制流程、访问对象等。 - **EL(Expression Language)**:简化了数据绑定,使得在JSP页面中可以方便地访问JavaBean的属性。 - **JSTL(JavaServer Pages ...
EL简化了对JSP内置对象和作用域内属性的访问。例如,`${...}`表达式可以用来获取请求参数、会话数据等。例子会展示EL的用法及其与Java表达式的区别。 7. **JSP文件包含与转发** `<jsp:include>`和`...
Struts2作为表现层框架,它提供了一种强大的MVC模式实现,使得开发者可以方便地控制请求的处理流程,同时提供了丰富的标签库,简化了JSP页面的编写。在配置文件中,Struts2的核心配置文件是`struts-default.xml`和`...
Datagrid标签用于在JSP页面中生成动态数据表格,并提供了丰富的配置参数和方法,以实现复杂的数据操作。Datagrid父标签包含子标签如Column(列)、Operate(操作)等,支持展示数据列表、实现分页、排序、编辑和删除...
1. **创建和配置JSP页面**:学习如何设置JSP页面的基本属性,以及如何使用JSP指令来定制页面行为。 2. **使用JavaBean**:了解JavaBean的规范,以及如何在JSP中通过`<jsp:useBean>`来实例化和操作Bean。 3. **处理...
包括SQL语言的基础知识、JDBC驱动的配置和使用,以及如何利用JDBC访问MySQL数据库,为Web应用程序提供了强大的数据处理能力。 本书不仅适合JSP程序员、Web开发人员、网页设计人员和大中院校的学生,也适用于Java...