权限管理最佳实践:二,URL权限控制

原文地址:http://www.javaeye.com/topic/754014摘要:
今天说的URL权限控制,内容主要有:URL权限控制,当用户访问某URL时,进行角色权限验证。如果有相应权限,则允许其正常访问;否则,转到拒绝页面。
我们依然通过一个Filter来实现,这样就无需在代码中增加权限判断,也无需套用任何框架。对于整个权限管理系统来说,本节内容也非常简单。

解决方案 »

  1.   

    权限不应该按照 URL 来划分,而应该按照功能来划分。
      

  2.   

    url。 多烂的设计,权限是属于用户的,只需要在用户等陆时加载该用户权限 放于session中即可
      

  3.   

    权限确实是按照功能来设计的,但是不能放在session中,试想如果有N个用户一直没有结束会话的话,这将要耗费多大的资源。
      

  4.   


    B/S 应用还有 URL,那 C/S 呢?按 URL 来划分是非常不科学的!URL 是可以改变的,而功能是不变的。退一步说,如果权限仅控制到 URL 那基本上是个练习的应用,那页面上按钮的权限呢?有些用户可以使用这个按钮,有些用户则不行,并不是仅仅把按钮不显示就算权限了,这仅仅是客户端的权限控制,在服务端还需要更为严格的控制。
      

  5.   

    在 JDK 1.4 中集成了个叫 JAAS 的 API,也就是“Java 认证与授权服务”。JAAS 就是认证与授权控制的,很多框架或者权限框架都是基于 JAAS 的,比如 JBoss Seam, Spring Security 等。
      

  6.   

    Filter一般用来只判断用户是否已经登录