如何进行用户权限的菜单设计

tear

浏览: 60990 次
性别:
来自: 广西

最近访客更多访客>>

innwin

z19288291

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

配置管理 Spring Acegi AOP 项目管理

写了这样一个权限管理:
1.用户登陆,根据用户提交信息从数据库中提取用户类型(admin,manager,operator),然后放到session里(在userController里写实现的方法);
2.用IF ESLE实现在菜单页根据获取的不同的用户类型显示不同的页面链接菜单(1."房间预定管理";2."顾客信息管理";3."房间信息管理";4."系统用户信息管理"),可以点击进入操作页面,进行相关的增加删除修改等操作.
比如:(1)admin,则显示1,2,3,4四个链接菜单;
(2)manager,则显示1,2,3三个链接菜单;
(3)operator,则仅显示1,2两个链接菜单;
这样似乎实现了所谓的权限管理,其实不然,因为即使你的身份不是管理员,而且没有链接菜单允许你访问系统用户页面,你也完全可以手动通过在地址栏里输入URL访问,这样也就谈不上什么权限管理了.

不知道大家有什么好的方法可以做到,既可以根据不同用户类型显示不同的链接菜单,又可以拦截非法的越权URL的访问?:)

分享到：

2007年4月28日——开始与结束的边缘 | 我不漂亮

2007-02-01 15:36
浏览 15265
评论(25)
论坛回复 / 浏览 (25 / 19656)
分类:企业架构
查看更多

25 楼 alloon 2007-04-10

如果你用的是SERVLET+JSP的话,可以做个公用的MAINSERVLET然后所有的SERVLET都继承它,在它里面限制,如果你使用的是STRUTS的话,你可以在STRUTS-CONFIG.XML里加入RequestProcess接口的扩展类拦截,要么,还基本是页面的显示,如果牵扯到逻辑方面的,你在做系统的时候可以考虑用户登陆后的管理权限都是通过它的权限接口实现功能,如ADMIN做个接口,manager一个接口,然后他们各自实现各自的方法业务,然后所有进行了登陆后才能让SPRING注入他们的对象进行业务操作,还有种方式是使用JOBSS公司的的一个DROOLS工具实现规则引擎实现,看你怎么实现更方便了!

24 楼 hbcui1984 2007-04-06

刑天战士写道

MM可以阅读一下《基于角色的权限控制》那篇文章，县有一个ROLE表，表示系统中的角色；还应该有一个Resource表，里面有各种各样的资源，对于MM来说是URL；然后由一个PERMISSION表，里面对应每个每个角色可以访问的资源；然后菜单就可以通过查询取出来……

我们的系统一般也是这么做的，单独做出一个权限管理模块出来，感觉还是挺方便的

23 楼 roc8633284 2007-04-05

surroad 写道

有没朋友试过用interceptor解决session代码判断大量重复的？

通过实现interceptor过滤每个url，来判断用户登录后存在session的信息是否符合权限的需要，是个可行的办法。但是这种实现需要在interceptor实现类里实现大量的判断代码，有点不够智能。较好的办法还是要维护一个权限—角色对应表，再在interceptor实现类判断对应关系决定指向。

22 楼 lzmhehe 2007-04-05

111111 写道

我们是自己写的一个标签库,在jsp页面根据用户权限显示不同的内容!

这种方法能防止 url注入么？

21 楼 hellen_love 2007-04-05

基于角色的权限控制,这篇文章在哪?

20 楼 surroad 2007-02-05

有没朋友试过用interceptor解决session代码判断大量重复的？

19 楼 shihukui 2007-02-02

可以使用容器管理用户来做

18 楼 devilbaby 2007-02-02

我这两三个月都在研究liferay portal，liferay的权限做得挺不错的，也有权限表，而且他的权限做得很细，楼主可以参考下他的思想
p.s.如果单单是想没让没有权限的人不能通过url直接访问，最简单的方法就是写个servlet，继承你application用的servlet，在service里面写判断，那就每次controller跳转都会根据你的检查再跳转

17 楼 ronghao 2007-02-02

acegi确实可以很好的解决楼主的问题，说到底，也就是用filter拦截请求，然后判断权限。如果楼主的权限仅限于菜单权限，那自己写个filter就可以满足需要。如果想要更多，不如现在就用acegi，尽管它的配置文件让人恶心。

16 楼 tear 2007-02-02

basicbest 写道

tear 写道

非常感谢大家!
似乎大家都提到一个用户权限表,对此不大能理解,因为这是我初次接触权限管理,如果大家有什么好例子,可不可以贴出来学习一下?
另外,我用的是SPRING框架.

TO wuyingsong:因为前不久看过lighter写的一篇AOP管理权限,所以我对你说的方法比较熟悉,于是我试着用了,但是不知道是不是我写错了哪里,总之URL没拦截成功.

权限表可以算是最基本的管理方式。
我不知道为啥用AOP管理权限。
这类技术问题最好同时说明你的应用场合，规模，基本架构或者基本的前端处理机制

我前面有提到一个业务代码的问题，如果你有这个，基本上就非常容易解决权限问题。而且，这个没有那些论文讨论的复杂。
因为它和你说明问题的时候用的方式一样，很自然。
你的问题中已经给出了权限管理的最好的解决方法

你看见自己写的1,2,3,4了吗，就在那里

今天会争取用这样的方法来解决,AOP的方法也不会放弃,希望今天最起码能用其中一种解决,然后安安心心回家过年去

15 楼 tear 2007-02-02

hermitte 写道

tear 写道

可以尝试用acegi来管理，那个配置稍微麻烦点，不过跟spring结合的非常好。
appfuse中有配置的方法

我之前搜索了JAVAEYE里有关acegi的资料,也尝试着用它来处理,但是配置出来的结果是抛出了这样的异常:
javax.servlet.ServletException: Bean context must contain at least one bean
网上寻找到的方法也解决不了,于是先放弃,等有时间再回头学习.

14 楼 hermitte 2007-02-02

tear 写道

可以尝试用acegi来管理，那个配置稍微麻烦点，不过跟spring结合的非常好。
appfuse中有配置的方法

13 楼 basicbest 2007-02-02

tear 写道

权限表可以算是最基本的管理方式。
我不知道为啥用AOP管理权限。
这类技术问题最好同时说明你的应用场合，规模，基本架构或者基本的前端处理机制

你看见自己写的1,2,3,4了吗，就在那里

12 楼 tear 2007-02-01

11 楼 jeamzhang 2007-02-01

LZ可以看看我门的实现!!我们是把用户对象放在Session中的,再在每个操作的Action(Struts)中的的方法[如:add()],中进行判断,如果没有权限就报错,有权限就可以操作!用户还可以自己定义角色,并进行授权!不知道LZ是用了什么框架,Struts很好处理的,JSF就比较困难了!有需要的话:jeamyong@gmail.com

10 楼 basicbest 2007-02-01

XMLDB 写道

也许有人想把菜单显示和URL拦截合并在一起做,但是我认为这是不好的做法.我的做法是分别实现.实际上,如果系统设计比较完善的话,基本上能够复用大部逻辑

基本上没有不好，主要还是看应用的要求。

9 楼 Michael Jia 2007-02-01

昨天我刚做了防止URL注入操作。在生成权限树菜单的时候，把权限缓存到ssession中。在增加一个filter或者interceptor，用户访问的时候将URI与session中的权限对比。这样也是可以做到的。

8 楼刑天战士 2007-02-01

7 楼 XMLDB 2007-02-01

也许有人想把菜单显示和URL拦截合并在一起做,但是我认为这是不好的做法.实际上,如果系统设计比较完善的话,基本上能够复用大部逻辑.我的做法是分别实现:根据权限选择菜单,不拦截URL,只在Service层用拦截器做权限控制.

6 楼 wuyingsong 2007-02-01

你具体的权限控制全部写在权限拦截器public class AuthorityInterceptor implements MethodInterceptor{}里面,就OK了!

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论