问题描述
原文地址:http://www.javaeye.com/topic/754014摘要:今天说的URL权限控制,内容主要有:URL权限控制,当用户访问某URL时,进行角色权限验证。如果有相应权限,则允许其正常访问;否则,转到拒绝页面。我们依然通过一个Filter来实现,这样就无需在代码中增加权限判断,也无需套用任何框架。对于整个权限管理系统来说,本节内容也非常简单。
解决方案
解决方案二:
每个用户访问一个连接都去判断会不会影响性能
解决方案三:
权限不应该按照URL来划分,而应该按照功能来划分。
解决方案四:
url。多烂的设计,权限是属于用户的,只需要在用户等陆时加载该用户权限放于session中即可
解决方案五:
#24
解决方案六:
权限确实是按照功能来设计的,但是不能放在session中,试想如果有N个用户一直没有结束会话的话,这将要耗费多大的资源。
解决方案七:
引用2楼bao110908的回复:
权限不应该按照URL来划分,而应该按照功能来划分。
果子,lz专门研究这个得啊,肯定有道理的啊,大家现在都在用什么组建啊
解决方案八:
引用6楼lord_is_layuping的回复:
引用2楼bao110908的回复:权限不应该按照URL来划分,而应该按照功能来划分。果子,lz专门研究这个得啊,肯定有道理的啊,大家现在都在用什么组建啊
B/S应用还有URL,那C/S呢?按URL来划分是非常不科学的!URL是可以改变的,而功能是不变的。退一步说,如果权限仅控制到URL那基本上是个练习的应用,那页面上按钮的权限呢?有些用户可以使用这个按钮,有些用户则不行,并不是仅仅把按钮不显示就算权限了,这仅仅是客户端的权限控制,在服务端还需要更为严格的控制。
解决方案九:
在JDK1.4中集成了个叫JAAS的API,也就是“Java认证与授权服务”。JAAS就是认证与授权控制的,很多框架或者权限框架都是基于JAAS的,比如JBossSeam,SpringSecurity等。
解决方案十:
Filter一般用来只判断用户是否已经登录
解决方案十一:
学习了,呵呵
解决方案十二:
学习不同的解决方案。。。
解决方案十三:
引用2楼bao110908的回复:
权限不应该按照URL来划分,而应该按照功能来划分。
支持