控制用戶端訪問是開發一個基於B/S的架構的系統的開發人員必須考慮的問題。JSP或SERVLET規範的基於設定檔的安全性原則對資源的控制是以檔案為單位的,即只可以定義某個視圖全部可以或全部不能被訪問。一個比較複雜的系統往往要要求對視圖的一部分(如JSP頁面裡的一個按鈕)提供存取控制,只允許被某種角色的使用者訪問。如果採用可程式化的安全性原則,因為對使用者角色和操作的定義在開發時不能定義,而且這種策略加大了程式員的工作量,它可能不是一種好的辦法。
我採用定製標籤庫和和設定檔來解決這個問題:把要許可權控制的JSP頁面元素如BUTTON,作為標籤的內容。為受保護的內容起一個唯一的名稱,把這個名稱作為標籤的一個屬性。某個角色對某個頁面元素或一組頁面元素是否有許可權,在XML設定檔中描述。
例如,下面的JSP頁面有“詳細”和“修改”兩個按鈕。
<%@ taglib uri="http://mytag" prefix="custTag" %>
<html>
<head>
<title>test</title>
</head>
<body >
<form name="form1" >
<table width="600" border="0" cellspacing="0" cellpadding="2" >
<tr>
<td>
<custTag:JspSecurity elementName="employeedetail" >
<input type="button" name="detail" value="詳細" >
</custTag:JspSecurity>
<custTag:JspSecurity elementName="employeemodify" >
<input type="button" name="modify" value="修改" >
</custTag:JspSecurity>
</td>
</tr>
</table>
<br>
</form>
</body>
下面XML設定檔內容表示對角色為common的使用者,只對名為employeedetail 的頁面元素即“詳細”按鈕有許可權,對角色為“admin”的使用者,對名為employeedetail 和employeemodify的頁面元素即兩個按鈕都有許可權。
<?xml version="1.0" encoding="GB2312"?>
<security>
<htmlElement name="employeedetail" >
<roleName name="common" />
<roleName name="admin" />
</htmlElement>
<htmlElement name="employeemodify" >
<roleName name="admin" />
</htmlElement>
</security>
定製標籤類JspSecurityTag繼承了BodyTagSupport類。BodyTagSupport有一個變數bodyContent指向起始標誌和結束標誌之間的內容。JspSecurityTag的私人靜態變數roleList儲存從XML檔案中取到角色和頁面元素的對應集合,私人變數ElementName對應頁面元素的名稱。當解析該定製標籤時,首先先取到頁面元素的名稱,再取到目前使用者的角色,如果角色有該頁面元素的許可權,就顯示標籤本文(即頁面元素),否則不顯示。
Pagekage com.presentation.viewhelper.JspSecurityTag;
import javax.servlet.jsp.tagext.*;
import javax.servlet.jsp.*;
import java.util.*;
import org.xml.sax.*;
import org.xml.sax.helpers.*;
import org.w3c.dom.*;
import java.io.*;
import javax.xml.parsers.*;
public class JspSecurityTag extends BodyTagSupport {
//儲存從XML檔案中取到角色和頁面元素的對應集合
private static ArrayList roleList;
//頁面元素的名稱
private String elementName;
public void setElementName(String str)
{
this.elementName=str;
}
public int doAfterBody() throws JspException{
if(roleList==null)
{
roleList=getList();
}
try{
//如果認證通過就顯示標籤本文,否則跳過標籤本文,就這麼簡單
if(isAuthentificated(elementName))
{
if(bodyContent != null){
JspWriter out=bodyContent.getEnclosingWriter();
bodyContent.writeOut(out);
}else
{
}
}
}catch(Exception e){
throw new JspException();
}
return SKIP_BODY;
}
//從XML設定檔中取到角色和頁面元素的對應,儲存到靜態ArrayList
private ArrayList getList()
{
DocumentBuilderFactory dbf =
DocumentBuilderFactory.newInstance();
DocumentBuilder db = null;
Document doc=null;
NodeList childlist = null;
String elementName;
String roleName;
int index;
ArrayList theList = new ArrayList();
try{
db = dbf.newDocumentBuilder();
}catch(Exception e)
{
e.printStackTrace();
}
try{
doc = db.parse(new File("security.xml"));
}catch(Exception e)
{
e.printStackTrace();
}
//讀取頁面元素列表
NodeList elementList = doc.getElementsByTagName("htmlElement");
for(int i=0;i<elementList.getLength();i++)
{
Element name = ((Element)elementList.item(i));
//頁面元素的名稱
elementName = name.getAttribute("name");
//該頁面元素對應的有許可權的角色的列表
NodeList rolNodeList = ((NodeList)name.getElementsByTagName("roleName"));
for(int j=0;j<rolNodeList.getLength();j++)
{
//有許可權的角色的名稱
//roleName = ((Element)rolNodeList.item(j)).getNodeValue();
roleName = ((Element)rolNodeList.item(j)).getAttribute("name");
theList.add(new ElementAndRole(elementName,roleName));
}
}
return theList;
}
//檢查該角色是否有該頁面元素的許可權
private boolean isAuthentificated(String elementName)
{
String roleName = "";
//在使用者登陸時把該使用者的角色儲存到SESSION中,這裡只是直接從SESSION中取用//戶角色。
roleName=this.pageContext.getSession().getAttribute("rolename”);
// roleList包含elementName屬性為elementName,roleName屬性為roleName的//ElementAndRole對象,則該角色有該頁面元素的許可權
if(roleList.contains(new ElementAndRole(elementName,roleName)))
{
return true;
}
}
return false;
}
//表示角色和頁面元素的對應的關係的內部類
class ElementAndRole{
String elementName;
String roleName;
public ElementAndRole(String elementName,String roleName)
{
this.elementName=elementName;
this.roleName=roleName;
}
public boolean equals(Object obj)
{
return(((ElementAndRole)obj).elementName.equals(this.elementName)&&((ElementAndRole)obj).roleName.equals(this.roleName));
}
}
}
在標籤庫能被JSP頁面使用前,要做以下三個步驟
1、 在JSP頁面中包括一個taglib元素,確定需要載入到記憶體的標籤庫。前面的JSP檔案的第一行:<%@ taglib uri="http://mytag" prefix="custTag" %>做的就是這件事。
2、 在設定檔web.xml中使用taglib元素確定TLD檔案的位置。在web.xml中增加:
<taglib>
<taglib-uri>http://mytag</taglib-uri>
<taglib-location>
/WEB-INF/mytag.tld
</taglib-location>
</taglib>
3、TLD檔案必須使用taglib元素標識每個定製標籤極其屬性。
下面是使用這個標籤庫對應的TLD檔案
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE taglib
PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.1//EN"
"http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">
<taglib>
<tlibversion>1.0</tlibversion>
<jspversion>1.1</jspversion>
<shortname>myTag</shortname>
<uri/>
<tag>
<name>JspSecurity</name>
<tagclass>com.presentation.viewhelper.JspSecurityTag</tagclass>
<info>
JspSecurityTag
</info>
<attribute>
<name>elementName</name>
<required>true</required>
<rtexprvalue>true</rtexprvalue>
</attribute>
</tag>
</taglib>
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
