Struts2关于如何权限验证的问题

我刚开始使用struts2,但是struts2的权限验证拦截器,好像只作用于aciton上,如果知道具体的JSP的URL还是可以直接点击进入,这样的话不是会存在安全隐患吗?那么这个struts2的权限验证该怎么设计?难道只有从filter实现吗??struts2本身有提供好的方法吗?

解决方案 »

  1.   

    你可以把jsp的url隐藏起来啊,例如放到web-inf下面,不就无法直接访问jsp了吗。一般来说jsp只负责显示,不实现任何业务逻辑的话,你就算知道jsp的url也起不到什么作用啊。
      

  2.   

    如果想要权限控制,最好使用apache shiro和spring security框架,可以很好的解决各种权限访问控制问题struts权限过滤器和拦截器用法可以参考
    http://www.cnblogs.com/friday295/archive/2012/08/02/2619983.html
    看看能不能对你有帮助
      

  3.   


    放到下面是可以的,
    还有就是用filter了,现在我用的spring MVC 代替Struts做的,感觉还可以
      

  4.   


    不好意思,刚看到,我是一个新手,我不太清楚项目开发的流程,在实际的项目开发中会这样做吗?只是自己的想法中,全放在web-inf下面会不会显得不太好啊?