用定制标签库和配置文件实现对JSP页面元素的访问控制

       遏制存户端考察是开拓一个鉴于b/s的框架结构的体例的开拓者必需商量的题目。jsp或servlet典型的鉴于摆设文献的安定战略对资源的遏制是以文献为单元的，即只不妨设置某个视图十足不妨或十足不许被考察。一个比拟搀杂的体例常常要诉求目视图的一局部（如jsp页面里的一个按钮）供给考察遏制，只承诺被那种脚色的用户考察。即使沿用可编制程序的安定战略，由于对用户脚色和操纵的设置在开拓时不许设置，并且这种战略加大了步调员的处事量，它大概不是一种好的方法。

       我沿用定制标签库和和摆设文献来处置这个题目：把要权力遏制的jsp页面元素如button，动作标签的实质。为受养护的实质起一个独一的称呼，把这个称呼动作标签的一个属性。某个脚色对某个页面元素或一组页面元素能否有权力，在xml摆设文献中刻画。

       比方，底下的jsp页面有“精细”和“窜改”两个按钮。

<%@ taglib uri="http://mytag" prefix="custtag" %>

<html>

<head>

<title>test</title>

</head>

<body >

<form name="form1" >

   <table width="600" border="0" cellspacing="0" cellpadding="2" >

      <tr>

       <td>

            <custtag:jspsecurity elementname="employeedetail" >

              <input type="button" name="detail"  value="精细" >

            </custtag:jspsecurity>

            <custtag:jspsecurity elementname="employeemodify" >

              <input type="button" name="modify"  value="窜改" >

            </custtag:jspsecurity>

        </td>

      </tr>

</table>

<br>

</form>

</body>

       底下xml摆设文献实质表白对脚色为common的用户，只对名为employeedetail 的页面元素即“精细”按钮有权力，对脚色为“admin”的用户，对名为employeedetail 和employeemodify的页面元素即两个按钮都有权力。

<?xml version="1.0" encoding="gb2312"?>

<security>

<htmlelement name="employeedetail" >

<rolename name="common" />

<rolename name="admin" />

</htmlelement>

<htmlelement name="employeemodify" >

<rolename name="admin" />

</htmlelement>

</security>

       定制标签类jspsecuritytag接受了bodytagsupport类。bodytagsupport有一个变量bodycontent指向开始标记和中断标记之间的实质。jspsecuritytag的独占静态变量rolelist生存从xml文献中取到脚色和页面元素的对应汇合，独占变量elementname对应页面元素的称呼。当领会该定制标签时，开始先取到页面元素的称呼，再取到暂时用户的脚色，即使脚色有该页面元素的权力，就表露标签正文（即页面元素），要不不表露。

pagekage com.presentation.viewhelper.jspsecuritytag;

import javax.servlet.jsp.tagext.*;

import javax.servlet.jsp.*;

import java.util.*;

import org.xml.sax.*;

import org.xml.sax.helpers.*;

import org.w3c.dom.*;

import java.io.*;

import javax.xml.parsers.*;

public class jspsecuritytag extends bodytagsupport {

  //生存从xml文献中取到脚色和页面元素的对应汇合

  private static arraylist rolelist;

  //页面元素的称呼

  private string elementname;

  public void setelementname(string str)

  {

    this.elementname=str;

  }

  public int doafterbody() throws jspexception{

    if(rolelist==null)

    {

      rolelist=getlist();

    }

    try{

        //即使认证经过就表露标签正文，要不跳过标签正文，就这么大略

        if(isauthentificated(elementname))

        {

          if(bodycontent != null){

            jspwriter out=bodycontent.getenclosingwriter();

            bodycontent.writeout(out);

          }else

          {

          }

        }

    }catch(exception e){

      throw new jspexception();

    }

    return skip_body;

  }

  //从xml摆设文献中取到脚色和页面元素的对应，生存到静态的arraylist

  private arraylist getlist()

  {

    documentbuilderfactory dbf =

        documentbuilderfactory.newinstance();

    documentbuilder db = null;

    document doc=null;

    nodelist childlist = null;

    string elementname;

    string rolename;

    int index;

    arraylist thelist = new arraylist();

    try{

      db = dbf.newdocumentbuilder();

    }catch(exception e)

    {

      e.printstacktrace();

    }

    try{

      doc = db.parse(new file("security.xml"));

    }catch(exception e)

    {

      e.printstacktrace();

    }

    //读取页面元素列表

    nodelist elementlist = doc.getelementsbytagname("htmlelement");

    for(int i=0;i<elementlist.getlength();i++)

    {

      element name = ((element)elementlist.item(i));

      //页面元素的称呼

      elementname = name.getattribute("name");

      //该页面元素对应的有权力的脚色的列表

      nodelist rolnodelist = ((nodelist)name.getelementsbytagname("rolename"));

      for(int j=0;j<rolnodelist.getlength();j++)

      {

        //有权力的脚色的称呼

        //rolename = ((element)rolnodelist.item(j)).getnodevalue();

        rolename = ((element)rolnodelist.item(j)).getattribute("name");

        thelist.add(new elementandrole(elementname,rolename));

      }

    }

    return thelist;

  }

  //查看该脚色能否有该页面元素的权力

  private boolean isauthentificated(string elementname)

  {

string rolename = "";

//在用户登岸时把该用户的脚色生存到session中，这边不过径直从session中取用//户脚色。

rolename=this.pagecontext.getsession().getattribute("rolename”);

// rolelist包括elementname属性为elementname，rolename属性为rolename的//elementandrole东西，则该脚色有该页面元素的权力

     if(rolelist.contains(new elementandrole(elementname,rolename)))

          {

               return true;

          }

    }

    return  false;

  }

  //表白脚色和页面元素的对应的联系的里面类

  class elementandrole{

    string elementname;

    string rolename;

    public elementandrole(string elementname,string rolename)

    {

      this.elementname=elementname;

      this.rolename=rolename;

    }

    public boolean equals(object obj)

    {

      return(((elementandrole)obj).elementname.equals(this.elementname)&&((elementandrole)obj).rolename.equals(this.rolename));

    }

  }

}

在标签库能被jsp页面运用前，要做以次三个办法

1、  在jsp页面中囊括一个taglib元素，决定须要加载到外存的标签库。前方的jsp文献的第一条龙：<%@ taglib uri="http://mytag" prefix="custtag" %>做的即是这件事。

2、  在摆设文献web.xml中运用taglib元素决定tld文献的场所。在web.xml中减少：

  <taglib>

    <taglib-uri>http://mytag</taglib-uri>

    <taglib-location>

       /web-inf/mytag.tld

    </taglib-location>

  </taglib>

3、tld文献必需运用taglib元素标识每个定制标签极端属性。

底下是运用这个标签库对应的tld文献

<?xml version="1.0" encoding="iso-8859-1" ?>

<!doctype taglib

 public "-//sun microsystems, inc.//dtd jsp tag library 1.1//en"

 "http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">

<taglib>

  <tlibversion>1.0</tlibversion>

  <jspversion>1.1</jspversion>

  <shortname>mytag</shortname>

  <uri/>

  <tag>

    <name>jspsecurity</name>

    <tagclass>com.presentation.viewhelper.jspsecuritytag</tagclass>

    <info>

       jspsecuritytag

    </info>

    <attribute>

       <name>elementname</name>

       <required>true</required>

       <rtexprvalue>true</rtexprvalue>

    </attribute>

  </tag>

</taglib>