页面级的权限控制讨论
提出问题:当一个用户进入某个模块(具体可以是个页面),因为没有访问权限,系统给出通知,并禁止访问。
分析问题:系统分为几个不同独立的模块,登陆用户为某个角色,比如档案管理员,系统管理员等等,该用户只能对属于自己职责(也就是权限)范围的模块进行访问操作。
对于web系统,呈现在用户面前,不同模块通过菜单,树等等导航栏进行划分,用户进入某个模块首先应进行权限验证。权限验证应在模块的入口首次进行(其实每个模块中每个页面访问控件操作都要验证),模块的入口简单分为模块页面,导航控件。验证也可以分为客户端验证和服务器端验证。
来对服务器端验证讨论吧
我的想法是每个user进入某个page,都进入权限验证
validate(User t,Page p),验证通过才允许访问。
这就要求每个User有个许可Page列表或者是许可模块列表。可实现起来还是不知所错。
谁还有更好的办法,欢迎各位一起来个讨论!