时间: 2021-07-31 作者:daque
遏制存户端考察是开拓一个鉴于b/s的框架结构的体例的开拓者必需商量的题目。jsp或servlet典型的鉴于摆设文献的安定战略对资源的遏制是以文献为单元的,即只不妨设置某个视图十足不妨或十足不许被考察。一个比拟搀杂的体例常常要诉求目视图的一局部(如jsp页面里的一个按钮)供给考察遏制,只承诺被那种脚色的用户考察。即使沿用可编制程序的安定战略,由于对用户脚色和操纵的设置在开拓时不许设置,并且这种战略加大了步调员的处事量,它大概不是一种好的方法。
我沿用定制标签库和和摆设文献来处置这个题目:把要权力遏制的jsp页面元素如button,动作标签的实质。为受养护的实质起一个独一的称呼,把这个称呼动作标签的一个属性。某个脚色对某个页面元素或一组页面元素能否有权力,在xml摆设文献中刻画。
比方,底下的jsp页面有“精细”和“窜改”两个按钮。
<%@ taglib uri="http://mytag" prefix="custtag" %>
<html>
<head>
<title>test</title>
</head>
<body >
<form name="form1" >
<table width="600" border="0" cellspacing="0" cellpadding="2" >
<tr>
<td>
<custtag:jspsecurity elementname="employeedetail" >
<input type="button" name="detail" value="精细" >
</custtag:jspsecurity>
<custtag:jspsecurity elementname="employeemodify" >
<input type="button" name="modify" value="窜改" >
</custtag:jspsecurity>
</td>
</tr>
</table>
<br>
</form>
</body>
底下xml摆设文献实质表白对脚色为common的用户,只对名为employeedetail 的页面元素即“精细”按钮有权力,对脚色为“admin”的用户,对名为employeedetail 和employeemodify的页面元素即两个按钮都有权力。
<?xml version="1.0" encoding="gb2312"?>
<security>
<htmlelement name="employeedetail" >
<rolename name="common" />
<rolename name="admin" />
</htmlelement>
<htmlelement name="employeemodify" >
<rolename name="admin" />
</htmlelement>
</security>
定制标签类jspsecuritytag接受了bodytagsupport类。bodytagsupport有一个变量bodycontent指向开始标记和中断标记之间的实质。jspsecuritytag的独占静态变量rolelist生存从xml文献中取到脚色和页面元素的对应汇合,独占变量elementname对应页面元素的称呼。当领会该定制标签时,开始先取到页面元素的称呼,再取到暂时用户的脚色,即使脚色有该页面元素的权力,就表露标签正文(即页面元素),要不不表露。
pagekage com.presentation.viewhelper.jspsecuritytag;
import javax.servlet.jsp.tagext.*;
import javax.servlet.jsp.*;
import java.util.*;
import org.xml.sax.*;
import org.xml.sax.helpers.*;
import org.w3c.dom.*;
import java.io.*;
import javax.xml.parsers.*;
public class jspsecuritytag extends bodytagsupport {
//生存从xml文献中取到脚色和页面元素的对应汇合
private static arraylist rolelist;
//页面元素的称呼
private string elementname;
public void setelementname(string str)
{
this.elementname=str;
}
public int doafterbody() throws jspexception{
if(rolelist==null)
{
rolelist=getlist();
}
try{
//即使认证经过就表露标签正文,要不跳过标签正文,就这么大略
if(isauthentificated(elementname))
{
if(bodycontent != null){
jspwriter out=bodycontent.getenclosingwriter();
bodycontent.writeout(out);
}else
{
}
}
}catch(exception e){
throw new jspexception();
}
return skip_body;
}
//从xml摆设文献中取到脚色和页面元素的对应,生存到静态的arraylist
private arraylist getlist()
{
documentbuilderfactory dbf =
documentbuilderfactory.newinstance();
documentbuilder db = null;
document doc=null;
nodelist childlist = null;
string elementname;
string rolename;
int index;
arraylist thelist = new arraylist();
try{
db = dbf.newdocumentbuilder();
}catch(exception e)
{
e.printstacktrace();
}
try{
doc = db.parse(new file("security.xml"));
}catch(exception e)
{
e.printstacktrace();
}
//读取页面元素列表
nodelist elementlist = doc.getelementsbytagname("htmlelement");
for(int i=0;i<elementlist.getlength();i++)
{
element name = ((element)elementlist.item(i));
//页面元素的称呼
elementname = name.getattribute("name");
//该页面元素对应的有权力的脚色的列表
nodelist rolnodelist = ((nodelist)name.getelementsbytagname("rolename"));
for(int j=0;j<rolnodelist.getlength();j++)
{
//有权力的脚色的称呼
//rolename = ((element)rolnodelist.item(j)).getnodevalue();
rolename = ((element)rolnodelist.item(j)).getattribute("name");
thelist.add(new elementandrole(elementname,rolename));
}
}
return thelist;
}
//查看该脚色能否有该页面元素的权力
private boolean isauthentificated(string elementname)
{
string rolename = "";
//在用户登岸时把该用户的脚色生存到session中,这边不过径直从session中取用//户脚色。
rolename=this.pagecontext.getsession().getattribute("rolename”);
// rolelist包括elementname属性为elementname,rolename属性为rolename的//elementandrole东西,则该脚色有该页面元素的权力
if(rolelist.contains(new elementandrole(elementname,rolename)))
{
return true;
}
}
return false;
}
//表白脚色和页面元素的对应的联系的里面类
class elementandrole{
string elementname;
string rolename;
public elementandrole(string elementname,string rolename)
{
this.elementname=elementname;
this.rolename=rolename;
}
public boolean equals(object obj)
{
return(((elementandrole)obj).elementname.equals(this.elementname)&&((elementandrole)obj).rolename.equals(this.rolename));
}
}
}
在标签库能被jsp页面运用前,要做以次三个办法
1、 在jsp页面中囊括一个taglib元素,决定须要加载到外存的标签库。前方的jsp文献的第一条龙:<%@ taglib uri="http://mytag" prefix="custtag" %>做的即是这件事。
2、 在摆设文献web.xml中运用taglib元素决定tld文献的场所。在web.xml中减少:
<taglib>
<taglib-uri>http://mytag</taglib-uri>
<taglib-location>
/web-inf/mytag.tld
</taglib-location>
</taglib>
3、tld文献必需运用taglib元素标识每个定制标签极端属性。
底下是运用这个标签库对应的tld文献
<?xml version="1.0" encoding="iso-8859-1" ?>
<!doctype taglib
public "-//sun microsystems, inc.//dtd jsp tag library 1.1//en"
"http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">
<taglib>
<tlibversion>1.0</tlibversion>
<jspversion>1.1</jspversion>
<shortname>mytag</shortname>
<uri/>
<tag>
<name>jspsecurity</name>
<tagclass>com.presentation.viewhelper.jspsecuritytag</tagclass>
<info>
jspsecuritytag
</info>
<attribute>
<name>elementname</name>
<required>true</required>
<rtexprvalue>true</rtexprvalue>
</attribute>
</tag>
</taglib>