如何进行用户权限的菜单设计

写了这样一个权限管理:
1.用户登陆,根据用户提交信息从数据库中提取用户类型(admin,manager,operator),然后放到session里(在userController里写实现的方法);
2.用IF ESLE实现在菜单页根据获取的不同的用户类型显示不同的页面链接菜单(1."房间预定管理";2."顾客信息管理";3."房间信息管理";4."系统用户信息管理"),可以点击进入操作页面,进行相关的增加删除修改等操作.
比如:(1)admin,则显示1,2,3,4四个链接菜单;
     (2)manager,则显示1,2,3三个链接菜单;
     (3)operator,则仅显示1,2两个链接菜单;
这样似乎实现了所谓的权限管理,其实不然,因为即使你的身份不是管理员,而且没有链接菜单允许你访问系统用户页面,你也完全可以手动通过在地址栏里输入URL访问,这样也就谈不上什么权限管理了.

不知道大家有什么好的方法可以做到,既可以根据不同用户类型显示不同的链接菜单,又可以拦截非法的越权URL的访问?:)

评论

5 楼 wuyingsong 2007-02-01  

呵呵,我刚学会了一种办法 :我用的是SPRING
先写一个权限拦截public class AuthorityInterceptor implements MethodInterceptor{},然后在SPRING容器中如下配置:

<bean class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">
    <property name="beanNames">
            <list>
                <value>/自己的ACTION</value>
                <value>/自己的ACTION</value>
                ..               
            </list>
    </property>
        <property name="interceptorNames">
            <list>
                <value>authorityInterceptor</value>
            </list>
        </property>
    </bean>

<bean id="authorityInterceptor" class="org.yourself.struts.authority.AuthorityInterceptor"/>

4 楼 IvanLi 2007-02-01  

扩展下struts-menu可以做到

3 楼 basicbest 2007-02-01  

tear 写道

写了这样一个权限管理:
1.用户登陆,根据用户提交信息从数据库中提取用户类型(admin,manager,operator),然后放到session里(在userController里写实现的方法);
2.用IF ESLE实现在菜单页根据获取的不同的用户类型显示不同的页面链接菜单(1."房间预定管理";2."顾客信息管理";3."房间信息管理";4."系统用户信息管理"),可以点击进入操作页面,进行相关的增加删除修改等操作.
比如:(1)admin,则显示1,2,3,4四个链接菜单;
     (2)manager,则显示1,2,3三个链接菜单;
     (3)operator,则仅显示1,2两个链接菜单;
这样似乎实现了所谓的权限管理,其实不然,因为即使你的身份不是管理员,而且没有链接菜单允许你访问系统用户页面,你也完全可以手动通过在地址栏里输入URL访问,这样也就谈不上什么权限管理了.

不知道大家有什么好的方法可以做到,既可以根据不同用户类型显示不同的链接菜单,又可以拦截非法的越权URL的访问?:)

用filter，或者在你的核心控制器里面加权限。如果你的页面操作设计了独立的操作代码的话，权限就容易根据这些操作代码和用户权限表比照，进行控制。偶这里说的页面本质上应该是业务操作。不同系统可能不同。

2 楼 李超群 2007-02-01  

做角色和action的映射配置表，然后用filter来过滤就行了。

1 楼 抛出异常的爱 2007-02-01  

tear 写道

写了这样一个权限管理:
1.用户登陆,根据用户提交信息从数据库中提取用户类型(admin,manager,operator),然后放到session里(在userController里写实现的方法);
2.用IF ESLE实现在菜单页根据获取的不同的用户类型显示不同的页面链接菜单(1."房间预定管理";2."顾客信息管理";3."房间信息管理";4."系统用户信息管理"),可以点击进入操作页面,进行相关的增加删除修改等操作.
比如:(1)admin,则显示1,2,3,4四个链接菜单;
     (2)manager,则显示1,2,3三个链接菜单;
     (3)operator,则仅显示1,2两个链接菜单;
这样似乎实现了所谓的权限管理,其实不然,因为即使你的身份不是管理员,而且没有链接菜单允许你访问系统用户页面,你也完全可以手动通过在地址栏里输入URL访问,这样也就谈不上什么权限管理了.

不知道大家有什么好的方法可以做到,既可以根据不同用户类型显示不同的链接菜单,又可以拦截非法的越权URL的访问?:)

项目中用了ldap如果手写url那么就是直接清了session跳到首页去。