13赞
638
当前位置:  开发笔记 > Android > 正文

用定制标签库和配置文件实现对JSP页面元素的访问控制

用定制标签库和配置文件实现对JSP页面元素的访问控制

       控制客户端访问是开发一个基于B/S的架构的系统的开发者必须考虑的问题。JSPSERVLET规范的基于配置文件的安全策略对资源的控制是以文件为单位的,即只可以定义某个视图全部可以或全部不能被访问。一个比较复杂的系统往往要要求对视图的一部分(如JSP页面里的一个按钮)提供访问控制,只允许被某种角色的用户访问。如果采用可编程的安全策略,因为对用户角色和操作的定义在开发时不能定义,而且这种策略加大了程序员的工作量,它可能不是一种好的办法。

       我采用定制标签库和和配置文件来解决这个问题:把要权限控制的JSP页面元素如BUTTON,作为标签的内容。为受保护的内容起一个唯一的名称,把这个名称作为标签的一个属性。某个角色对某个页面元素或一组页面元素是否有权限,在XML配置文件中描述。

 

       例如,下面的JSP页面有“详细”和“修改”两个按钮。

<%@ taglib uri="http://mytag" prefix="custTag" %>

  

     

      

     

           

                value="详细" >

           

           

                value="修改" >

           

       

>
>

 

       下面XML配置文件内容表示对角色为common的用户,只对名为employeedetail 的页面元素即“详细”按钮有权限,对角色为“admin”的用户,对名为employeedetail employeemodify的页面元素即两个按钮都有权限。

 

       定制标签类JspSecurityTag继承了BodyTagSupport类。BodyTagSupport有一个变量bodyContent指向起始标志和结束标志之间的内容。JspSecurityTag的私有静态变量roleList保存从XML文件中取到角色和页面元素的对应集合,私有变量ElementName对应页面元素的名称。当解析该定制标签时,首先先取到页面元素的名称,再取到当前用户的角色,如果角色有该页面元素的权限,就显示标签正文(即页面元素),否则不显示。

 

Pagekage com.presentation.viewhelper.JspSecurityTag;

 

import javax.servlet.jsp.tagext.*;

import javax.servlet.jsp.*;

import java.util.*;

import org.xml.sax.*;

import org.xml.sax.helpers.*;

import org.w3c.dom.*;

import java.io.*;

import javax.xml.parsers.*;

 

public class JspSecurityTag extends BodyTagSupport {

  //保存从XML文件中取到角色和页面元素的对应集合

  private static ArrayList roleList;

  //页面元素的名称

  private String elementName;

 

  public void setElementName(String str)

  {

    this.elementName=str;

  }

 

  public int doAfterBody() throws JspException{

    if(roleList==null)

    {

      roleList=getList();

    }

    try{

        //如果认证通过就显示标签正文,否则跳过标签正文,就这么简单

        if(isAuthentificated(elementName))

        {

          if(bodyContent != null){

            JspWriter out=bodyContent.getEnclosingWriter();

            bodyContent.writeOut(out);

          }else

          {

          }

        }

    }catch(Exception e){

      throw new JspException();

    }

    return SKIP_BODY;

  }

  //XML配置文件中取到角色和页面元素的对应,保存到静态的ArrayList

  private ArrayList getList()

  {

    DocumentBuilderFactory dbf =

        DocumentBuilderFactory.newInstance();

    DocumentBuilder db = null;

    Document doc=null;

    NodeList childlist = null;

    String elementName;

    String roleName;

    int index;

    ArrayList theList = new ArrayList();

 

    try{

      db = dbf.newDocumentBuilder();

    }catch(Exception e)

    {

      e.printStackTrace();

    }

    try{

      doc = db.parse(new File("security.xml"));

    }catch(Exception e)

    {

      e.printStackTrace();

    }

    //读取页面元素列表

    NodeList elementList = doc.getElementsByTagName("htmlElement");

    for(int i=0;i

    {

      Element name = ((Element)elementList.item(i));

      //页面元素的名称

      elementName = name.getAttribute("name");

      //该页面元素对应的有权限的角色的列表

      NodeList rolNodeList = ((NodeList)name.getElementsByTagName("roleName"));

      for(int j=0;j

      {

        //有权限的角色的名称

        //roleName = ((Element)rolNodeList.item(j)).getNodeValue();

        roleName = ((Element)rolNodeList.item(j)).getAttribute("name");

        theList.add(new ElementAndRole(elementName,roleName));

      }

    }

    return theList;

  }

 

  //检查该角色是否有该页面元素的权限

  private boolean isAuthentificated(String elementName)

  {

String roleName = "";

>//在用户登陆时把该用户的角色保存到SESSION中,这里只是直接从SESSION中取用//户角色。

roleName=this.pageContext.getSession().getAttribute("rolename”);

// roleList包含elementName属性为elementNameroleName属性为roleName//ElementAndRole对象,则该角色有该页面元素的权限

     if(roleList.contains(new ElementAndRole(elementName,roleName)))

          {

               return true;

          }

    }

    return  false;

  }

  //表示角色和页面元素的对应的关系的内部类

  class ElementAndRole{

    String elementName;

    String roleName;

    public ElementAndRole(String elementName,String roleName)

    {

      this.elementName=elementName;

      this.roleName=roleName;

    }

    public boolean equals(Object obj)

    {

      return(((ElementAndRole)obj).elementName.equals(this.elementName)&&((ElementAndRole)obj).roleName.equals(this.roleName));

    }

  }

}

在标签库能被JSP页面使用前,要做以下三个步骤

1、  JSP页面中包括一个taglib元素,确定需要加载到内存的标签库。前面的JSP文件的第一行:><%@ taglib uri="http://mytag" prefix="custTag" %>做的就是这件事。

2、  在配置文件web.xml中使用taglib元素确定TLD文件的位置。在web.xml中增加:

 

    http://mytag

   

       /WEB-INF/mytag.tld

   

 

3TLD文件必须使用taglib元素标识每个定制标签极其属性。

下面是使用这个标签库对应的TLD文件

>>>

>

>

 PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.1//EN"

 "http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">

>>

  1.0

  1.1

  myTag

 

>>  >

    JspSecurity

    com.presentation.viewhelper.JspSecurityTag

>>    >

       JspSecurityTag

   

>>    >

       elementName

       true

       true

   

 

推荐阅读
  • 本文主要介绍了微信小程序实战篇之购物车的实现代码示例,详细的介绍了购物车的功能实现,具有一定的参考价值,有兴趣的可以了解一下,希望能帮助到大家。 ... [详细]
  • 这次给大家带来微信小程序的圆形进度条怎么做,实现微信小程序的圆形进度条的注意事项有哪些,下面就是实战案例,一起来看一下。 ... [详细]
  • 这篇文章主要为大家详细介绍了php微信高级接口群发、多客服的相关资料,感兴趣的小伙伴们可以参考一下 ... [详细]
  • 在上文里我们介绍了如何通过Force.com平台里为微信账号添加自定义菜单,本文里我们将进一步介绍如何查询菜单以及删除菜单的相关知识,最后会介绍微信平台如何进行语音识别的相关技术。 ... [详细]
  • 这是利用WPF作为前端技术,实现桌面版微信多客服系统。项目采用Prism作为前端框架,采用MVVM模式极好的对UI和逻辑代码分离 ... [详细]
  • 本文主要介绍了C#微信开发之接收返回文本消息原理与实现方法,具有一定的参考价值,下面跟着小编一起来看下吧 ... [详细]
  • 相信很多人对微信开发已经不那么陌生,我也是从一个微信开发的菜鸟经过各种问题的折磨,然后去搜索引擎搜索各种文章阅读,但是基本都是零散的资料,没有一个统一、系统的阐述微信应用如何开发。作者结合自己的实际开发经验,归纳整理出来分享给微信开发的入门者或正在研究的开发者。 ... [详细]
  • 本文讲解了Java如何实现JsApi方式的微信支付,代码内容详细,文章思路清晰,需要的朋友可以参考下 ... [详细]
  • 为什么需要websocket?传统的实时交互的游戏,或服务器主动发送消息的行为(如推送服务),如果想做在微信上,可能你会使用轮询的方式进行,不过这太消耗资源,大量的请 ... [详细]
  • 代码片段,代码分享,PHP代码分享,Java代码分享,Ruby代码分享,Python代码分享,HTML代码分享,CSS代码分享,SQL代码分享,JavaScript代码分享 ... [详细]
devbox
姚允浩_266
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有 京ICP备19059560号-4