通过filter判断用户权限的问题

gernett21 2009-02-24 11:43:57

通过filter判断用户权限的问题

小弟我在写一个类似framework的东西，可以集成各个已有的功能模块，并通过分配权限控制用户访问。

我把每个模块的访问权限作为一个权限，可集成成角色分给各个用户。

就权限检查这里，我的思路是这样的：

1：通过filter进行权限检查，这样每个请求就都会自动检查了

2：在filter中进行权限检查时，只能根据客户端请求的uri和该用户已拥有权限的模块uri进行匹配，如果有则为有权限，如果没有则为无权限。

但现在面临以下问题：

1)有的模块有多个页面和action，只有一个入口。这样我只能判断入口的uri用户是否具有，但其它页面就无法判断了。因为其它页面的入口并未在系统注册。

2)每个请求都进行这样的判断会不会效率太低？

我也考虑过在每个页面和action的开头写权限校验代码，但这样也很麻烦，因为角色是由管理员定义的。。。。

请高手指点一下我这种思路的错误？

...全文

278 13 打赏收藏转发到动态举报

写回复

用AI写文章

13 条回复

切换为时间正序

请发表友善的回复…

发表回复

abc130314 2009-02-24

打赏
举报

你说的action我不了解
如果，action 也能像 servlet 一样配置路径，你就把action配置到表示权限的目录下面。

如果你的权限太多，就直接在session里面建一个"power",new boolean[n]

每一种权限的过滤都对应 power 里面的一位

gernett21 2009-02-24

打赏
举报

嗯，我的系统里有几百个模块。。。31种肯定不够

abc130314 2009-02-24

打赏
举报

角色的权限你可以用一个 int 来表示。因为int 2进制是32位，所以至少可以产生31种权限(因为符号位的关系)。

gernett21 2009-02-24

打赏
举报

哦，没用过你说的这种方法，再说我用的action也需要权限校验啊

abc130314 2009-02-24

打赏
举报

三种权限，哪怕一种权限就一个文件，你都要放到一个文件夹下,为了用路径 /* 配置过滤。
a权限就用 a/* 来配置过滤。所以单个文件也要写到一个下级目录下面。

gernett21 2009-02-24

打赏
举报

是啊，举个例子，我写了三个页面，分别是A，B，C，可能是jsp，也可能是action

分别产生了三种权限:a,b,c

不同的用户可能会有a,b,c中的一个或多个

不知道你说的“文件夹”是什么意思

abc130314 2009-02-24

打赏
举报

你的一个模块，就相当于一种权限，也就是一个文件夹。
（不知道理解有没有误。）

gernett21 2009-02-24

打赏
举报

[Quote=引用 4 楼 abc130314 的回复:]
现在你的结构应该已经定了。
如果是，最开始设计的话，我就会把权限分开出来。5种不同的权限5个文件夹5个过滤。
[/Quote]

我的系统是开放性的，可以新增功能模块，每个模块都是一个新的权限，可添加到角色中去，所以不能用这种方法

abc130314 2009-02-24

打赏
举报

现在你的结构应该已经定了。
如果是，最开始设计的话，我就会把权限分开出来。5种不同的权限5个文件夹5个过滤。

mirzlm 2009-02-24

打赏
举报

mark

gernett21 2009-02-24

打赏
举报

嗯，我判断用户是否登录的filter就是这样写的。

现在的问题是用这种方式判断具体用户是否有具体页面的访问权限感觉效率有点低

daisycool 2009-02-24

打赏
举报

在JSF下，可以设定一个Filter结合Session来检查用户对特定页面的权限。我不知道这是不是你的问题。给你点代码看看吧。



import au.com.company.SessionBean1;

import au.com.company.model.User;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;



public class SecurityCheckFilter implements Filter {

    

    private final static String FILTER_APPLIED = "_security_filter_applied";

    

    public SecurityCheckFilter() { // called once. no method arguments allowed here!

    }

    

    public void init(FilterConfig conf) throws ServletException {

    }

    

    public void destroy() {

    }

    

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        

        HttpServletRequest hreq = (HttpServletRequest) request;

        HttpServletResponse hres = (HttpServletResponse) response;

        HttpSession session = hreq.getSession();

        

        String page = hreq.getPathTranslated();

        

        // 这里不要屏蔽login.jsp，否则是个死循环

        if ( request.getAttribute(FILTER_APPLIED) == null &&

                !page.endsWith("login.jsp") &&

                (page.endsWith(".jsp") || page.endsWith(".jspf")) ) { //除了login.jsp，屏蔽一切jsp,jspf页面

            request.setAttribute(FILTER_APPLIED, Boolean.TRUE);

            

            // 从SessionBean里得到已经登录的用户，如果用户没有登录，则回到login.jsp页

            User loginUser = null;

            if (session.getAttribute("SessionBean1") != null) {

                loginUser = ((SessionBean1) session.getAttribute("SessionBean1")).getLoginUser();

            }

            

            if (loginUser == null) {

                hres.sendRedirect("login.jsp");

                return;

            } 

        }

        

        // deliver request to next filter

        chain.doFilter(request, response);

    }

    

}