权限验证的处理

原创！转载请注明地址 http://ycde2009.iteye.com/blog/1871987
    一般来说，一个系统都会有权限验证，这是毋庸置疑的，我在Struts2框架中采取验证的方式是，把需要验证的操作(action请求)作为键，验证的标注作为值写在一个permission.properties配置文件里，如addUserBusinessJSON=loginValidation，它的意思是，添加用户的操作必须为登录后，且登录用户的角色对应的权限表里面的权限项包含这个action名字。
    然后在拦截器中进行验证，当一个action请求到来时，我们需要获取到它的action名字，通过拦截器的intercept方法里面的参数actionInvocation，来调用它的方法actionInvocation.getInvocationContext().getName()获取action名字，获取到了之后，就到permission.properties配置文件里面通过查找以此action名字作为键的值，如果没有，说明此action不用验证，否则，就根据值来判断：
    a、只验证登录，只需要查看session中是否存在用户对象；
    b、如果是验证登录并且需要检查用户角色是否具有此权限，那么先检查用户登录与否，若果session中能取到用户，那就说明用户登录了，就到此用户的角色对应的权限表里面的权限项里面查找是否包含这个action名字，若果有就验证通过，若没有就验证失败，没有登录也是验证失败。
    对于验证失败后，我们需要返回失败信息，此时就需要从拦截器返回一个json字符串http://ycde2009.iteye.com/blog/1870845。
    权限验证的处理  一般来说权限分为：
        1、不用验证的，如：一般的跳转用的action、登录注册等；
        2、只需验证登录的，如：用户的action的跳转：
        3、验证登录且权限项里面有请求action名字，如：对数据库有相关操作的action；
第一种不需验证，所以就不用写到permission.properties配置文件里，第二、三种就需要写。