ssh框架防止用户直接在浏览器输入url权限控制

url过滤就可以了。在过滤器层做过滤。

解决方案 »

  1.   

    关键是有很多菜单,每个url都要写进过滤器么?
      

  2.   

    权限前期没做好,后期再去做,如果预留接口还好办,没有的话确实比较困难。这种情况你就应该用spring的aop思想去做了。
      

  3.   

    应该是每个ACTION都进过滤器,在过滤器的方法中查看这个用户是不是有权限
      

  4.   

    aop如何去过滤action权限呢,能具体么
      

  5.   

    判断是不会有action的 权限,这个没法搞吧,权限是和角色和菜单关联的
      

  6.   

    aop如何去过滤action权限呢,能具体么自己能先搜下aop是干嘛的,再追问。
      

  7.   

    约定开发人员 在所有url的路径里都包含菜单id, 比如 http://localhost:80/菜单2/xxx.action 这样在url过滤的地方就可以知道当前url是属于哪个菜单的 然后再看当前user有没有这个菜单的权限
      

  8.   

    aop如何去过滤action权限呢,能具体么自己能先搜下aop是干嘛的,再追问。我的意思是aop过滤action的权限,现在是直接输入action地址能访问没有授权的菜单界面,在aop中无法判断action的权限,比如,Action中的xx方法是进入菜单A的,我直接访问这个方法就能进入到菜单A的界面去,因为有很多action,不同的方法进不同的界面,也要每个方法都写到@before里面?
      

  9.   

    貌似可以这样,菜单ID我是能得到的,在配合aop貌似好像大概也许是否就能解决了.......
      

  10.   


    这个和aop有什么关系,就算是拦截也应该是拦截器(权限拦截)
      

  11.   

    把用户能访问菜单的URL 保存在session里面。然后通过过滤器过滤访问地址
      

  12.   

    首先登陆你的系统,必须有是否登陆进行过滤器 验证所有url ,然后就是进入首页在根据此登陆用户的角色所具有的权限显示他能操作的按钮。一般系统都是这样的
      

  13.   

    我很早之前就说过了,不能使用 URL 进行权限控制,而应使用功能进行控制,并且在页面和后台代码中都得进行控制。
      

  14.   

    用过滤器,百度一下Filter就知道。然后再过滤器里做权限判断。
      

  15.   

    spring有shiro的集成,吧所有的页面url对应的角色、用户放在一张表里,当用户登录时,获取用户对应的菜单url,并初始化好shiro的权限即可了。
    记得将非法的url访问跳转到对应的提示url。
      

  16.   

    给每个action上加个过滤器就行了
      

  17.   

    自己实现比较麻烦,可以接入第三方框架,实现资源的动态管理,比如spring-security,shiro都能实现用户--权限--角色--资源的控制,配置也不是 很麻烦,网上也有很多例子.
      

  18.   

    可以使用拦截器,拦截每次的请求
    获取每次请求的url后判断,用户的权限是否有这个url,如果有则执行,没有的话就跳转到无权限的界面