帮忙讨论一下一个关于权限的问题

由于经验、接触面不广，而最近碰到一些关于系统权限控制的问题。

 

遇到了问题就想来JavaEye和大家讨论一下，希望各位能给予帮助。

 

-----------------------------------------------------------------------

-----------------------------------------------------------------------

假设，现在有个 保险公司的在线投单系统

 

里面有两个角色：系统管理员、投单员。

 

这两个角色都拥有：查询保单信息的权限（而这个权限可能就是一个显示查询结果的JSP页面）。

 

现在的问题是：

 

           当拥有“系统管理员”角色的用户登录系统后，他可以查看所有系统用户的投单信息。当拥有“投单员”角色的用

 

户登录系统后，他就只能查看他自己的投单信息，其他用户投的单他是无权查看的。

 

           当出现这种需求的时候，大家有什么好的解决方案，希望拿出来和我分享分享。

       

        

评论

3 楼 brofe 2009-01-15  

limeng1028 写道

我建议是这样的 首先建立好 资源 权限 角色 用户的关系 页面中通过用户来确定允许访问的资源（你应该想要的是数据） 然后再通过配置菜单跟角色的关系 不同的角色登陆后访问到不同的菜单 而这个菜单页中又是根据当前角色访问私有的数据 我之前仿照springside 这样做过 没有用到acegi控制到领域对象级别 可以参考下

谢谢。我也是参看SpringSide做的， 呵呵。

2 楼 limeng1028 2009-01-14  

我建议是这样的
首先建立好 资源 权限 角色 用户的关系
页面中通过用户来确定允许访问的资源（你应该想要的是数据）
然后再通过配置菜单跟角色的关系
不同的角色登陆后访问到不同的菜单
而这个菜单页中又是根据当前角色访问私有的数据
我之前仿照springside 这样做过
没有用到acegi控制到领域对象级别
可以参考下

1 楼 brofe 2008-11-27  

前段时间学习了一下Acegi， 它可以通过对URL、业务方法、领域对象实施安全访问控制。而我觉得当我要实现文章中所描述的权限控制时，难免会出现硬编码或重复的查询功能却根据不通的角色实现多次或结构大体相似的JSP页面也会因角色的不同而重复出现。

如果各位有什么好的解决方案， 烦请与我讨论讨论。