传智播客 巴巴运动网的权限模块总结

因为巴巴运动网的权限设计模块对我来说，可以实现，打算好好整理一下思路，面试时说不定还能起点作用，看了两遍，自己总结下：
权限定义/权限组(角色)模块
1.对系统的所有功能定义相应的权限
2.由网管针对不同部门不同员工分配权限组(角色)，在分配角色时，
  可以选择该角色具有的权限
3.权限拦截模块
 
具体步骤：
 1.设计权限实体
    联合主键(SystemPrivilegePK),该类有module和privilage两个属性
 2.初始化权限
 3.设计权限组(角色)PrivilegeGroup实体,如果我们希望通过修改权限组添加或删除权限，那么权限和角色之间的多对多关系的维护端由角色 来维护
    private String groupid;
    private String name;
    private Set<SystemPrivilege> privileges = new HashSet<SystemPrivilege>();
同时加上到数据库表的映射
当然由于权限和角色之间的多对多关系是双向关联，所以要在SystemPrivilege实体bean中加上和PrivilegeGroup实体Bean 之间的映射

4.实现权限组的添删改
路径：/control/
 新建接口PrivilegeGroupService，继承Dao<PrivilegeGroupService>，
 新建PrivilegeGroupService，继承DaoSupport
当然这些Bean都需要交给Spring管理，加上相应的注解即可
5.实现权限组的分页，这个简单
6.实现添加权限，分页列表上的Action，新建Action，名称为PrivilegeGroupManageAction，
  ①.第一个方法是AddUI,主要是显示页面
  接下来就是增删该操作了(...)

7.权限做完后要新建一个Action用于完成SystemPrivilege，权限组，超级管理员的初始化，初始化完成后点击“确定”，进入登陆页面


 权限模块的核心：                        权限拦截模块

1.员工要访问control开头的路径，必须登陆，即粗粒度的权限拦截，这是通过Fileter实现的，这里我们定义为 PrivilegeFilter，先从session范围中得到employee对象，如果对象为空，就浏览器重定向到登陆界面，，如果登陆了，就 chain.doFilter(request,response);之后在web.xml配置,这样就实现粗粒度的权限控制了3
2.对于界面上的某些功能，不是每一个登陆到系统的员工对页面的功能都有操作权限，这就是细粒度的权限拦截
关键是怎样细粒度的权限控制
怎样实现细粒度的权限控制？
每点击页面上的按钮，都会提交给相应的Action处理，细粒度的权限拦截就是对Action拦截，在不修改原代码情况下，增加拦截代码，使用的是AOP 技术
 每一个功能Action都有相应的方法处理，我们用JDK5中的注解为Action中的方法注解相应的权限，因为我们有时会修改方法名称，用注解维护起 来比较方便比如：
@Permission(module="order",privilege="modify")
public ActionForward OrderModify(){}
 
实现过程：
①.新建注解Permission，
           @Retention(PetentionPolicy.RUNTIME)
           @Target(ElementType.METHOD)
             public @interface Permission{
                 String module();
                  String privilege();
             }
      为Action中的方法，加上注解
    只有拦截到Action中的这个方法，才能实现权限拦截，现在我们的Action已经交给Spring管理，所以我们可以使用Spring的AOP技术进 行权限拦截，有必要复习一下AOP的知识：
 在Action类上加一个注解如下：@Aspect，当然要使这个注解起作用，我们必须在Spring的配置文件里配置：
  <aop:aspectj-autoproxy> <!--注解解析器-->
要实现切面编程，抽象过程体现在代码上， 就是一个采用类来描述，要是这个类起作用，我们必须要把它交给Spring管理，很郁闷
@Aspect@Component
public class Interceptor｛
 @Pointcut("exception(org.apache.struts.action.ActionForward  cn.itcast.web.action.. * *(org.apache.struts.actionMapping,...))")
 private void actionMethod(){}
@Around("actionMethod")
public Object interceptor(ProceedingJoinPoint pjp) throw Throwable{
  System.out.println("拦截到了"+pjp.getSignature().getName()+"方法");
  return pjp.proceed();
 }
｝
注意：
通知：
前置通知，在拦截的方法前加通知，这个通知执行后，被拦截的方法仍然会执行。
所以使用环绕通知，但是这样的拦截只能是拦截Action实现的，他不能拦截继承自DispatchAction
原因：Spring的动态代理技术的问题
Spring不能对通过反射调用的方法应用上通知(Advice)
当Spring发现我们的继承的DispatchAction的那个类符合他拦截的要求，就会生成一个代理对象，因为无接口，默认使用cglib为这个 Action生成代理对象，根据cglib生成代理对象的特点，继承目标类，并且重写所有非final的方法来实现
 
注：spring只会为本类定义的方法应用通知

 

 

本文转载：http://wxuelai.blog.sohu.com/147684082.html