不同权限进入页面的问题

一个页面上有个链接,这个链接对于普通用户不可见,对管理员用户才可见。这就带来了问题,如果普通用户查看页面源码,看到链接中的地址,也能直接输入后进入,这就不安全了。
是不是要在进入的页面中检查当前用户的权限?可能是因为系统特殊,管理员也需要用户的操作界面,才把进入管理页面的连接放在这里。如果是一般的管理系统一般管理系统都会另给一个保密的连接进入吧。

解决方案 »

  1.   

    源文件怎么会显示那个管理链接呢,你用java代码写成动态的,若不是管理员在后台已经不显示这个链接了。
    若你实在怕普通用户进入那个页面,进入那个页面通过后台跳吧,权限正确就转向管理页面,不正确转向一个无权限页面就行了。
      

  2.   

    增加校验不就好了  做个filter,过滤下用户
      

  3.   

    系统中添加个角色。在进入页面的时<c:if>...
      

  4.   

    管理员用户登陆后赋值一个全局变量,jsp页面用<c:if>来判断。
    判断用户有无登录也可以用这个方法。
      

  5.   

    http://ajava.org/video/spring/12425.htmlSpring 权限管理 acegi视频教程--主讲人:郑成桥Acegi Security(以下简称Acegi)是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架,Acegi已经成为 Spring官方的一个子项目,所以也称为Spring Security。它通过在Spring容器中配置一组Bean,充分利用Spring的IoC和AOP功能,提供声明式安全访问控制的功能。虽然,现在 Acegi也可以应用到非Spring的应用程序中,但在Spring中使用Acegi是最自然的方式。
      

  6.   

    在jsp 中 动态生成的链接,  只有有权限才会显示, 查看网页源代码是查看你生成的网页文件, 那时候已经是生成过的了, 如果没有权限根本就看不到的,   就算是管理员操作的话你也得在后台验证其权限,然后才执行操作。
      

  7.   

    主要是前台用了Extjs,只是通过js操作css的方式进行隐藏,没有用动态生成。
      

  8.   

    拦截器比较优雅,能用他们说的filter吧,之前已经有登录过滤器了,会过滤所有.action,这里增加一个之拦截该方法的过滤器?
      

  9.   

    进入的这个action添加判断,性能会好些