在struts框架中使用Action作为资源的访问控制设计考虑
2005-06-17 16:32
369 查看
使用struts框架的好处之一就是所有Action类继承一个基类,将访问控制在基类中处理.
1.实现一个继承自struts的Action的BaseAction.从action类名提取资源名称,在mapping中的parameter提取当前action做为opertion.将userId,resource,operation作为参数传递到权限验证接口进行验证.参考Struts的DispatchAction使用反射机制调用请求的方法.
2.所有的Action类都继承自BaseAction,一个资源对应一个Action类.
设计中出现的问题:
在处理一个业务事务中,需要的不止一个action方法,例如修改资源这个业务过程,它需要两个ation,一个是显示资源信息进行编辑的方法edit,一个是将编辑好后的资源信息提交到服务器进行持久化操作的方法update.这样就是业务方法与action方法不对应.这里我们不需要对edit这个方法进行访问控制,需要控制的是update方法.并且在进行权限指派中也不需要edit这个权限.
问题解决思路:
自己被这个问题困绕了几天,在javaeye的帖子中有提到在Action上在加一层module层,但是只是提到,没有给出什么思路.只好自己慢慢琢磨了.开始的时候是在FormBean中加一个state属性,根据该属性判断该操作是edit还是update,如果是update就进行权限验证,如果是edit就放行直接调用相应的方法.但是这种方式也有个问题,就是有很多象edit这样,如add,delete,或者其他一些需要前置action方法(将就这么叫吧)的业务方法,实现的话在BaseAction中将出现大量的判断语句,而且ActionMapping也相当混乱.
后来想着不就是判断执行方法时是否需要进行访问控制吗,直接在方法名上做出标记不就行了.在不需要访问控制的方法名上加上"_nop",在权限验证前进行if判断.这样就需要一个if语句就搞定了.
其实解决这个问题的方法有两种:
1.在权限验证之前判断,不涉及到访问控制系统,如上述一样.
2.在访问控制系统中实现判断,这种情况就是在permission表中没有这种resource和operation的组合,既没有这样的permission.判断就根据这实现.
考虑到性能问题,方法1优于方法2,所以现在的实现就是采取这种方法.但是在访问控制系统中也实现了不存在给定resource和operation的permission判断及处理方法.
大概就这些了.
1.实现一个继承自struts的Action的BaseAction.从action类名提取资源名称,在mapping中的parameter提取当前action做为opertion.将userId,resource,operation作为参数传递到权限验证接口进行验证.参考Struts的DispatchAction使用反射机制调用请求的方法.
2.所有的Action类都继承自BaseAction,一个资源对应一个Action类.
设计中出现的问题:
在处理一个业务事务中,需要的不止一个action方法,例如修改资源这个业务过程,它需要两个ation,一个是显示资源信息进行编辑的方法edit,一个是将编辑好后的资源信息提交到服务器进行持久化操作的方法update.这样就是业务方法与action方法不对应.这里我们不需要对edit这个方法进行访问控制,需要控制的是update方法.并且在进行权限指派中也不需要edit这个权限.
问题解决思路:
自己被这个问题困绕了几天,在javaeye的帖子中有提到在Action上在加一层module层,但是只是提到,没有给出什么思路.只好自己慢慢琢磨了.开始的时候是在FormBean中加一个state属性,根据该属性判断该操作是edit还是update,如果是update就进行权限验证,如果是edit就放行直接调用相应的方法.但是这种方式也有个问题,就是有很多象edit这样,如add,delete,或者其他一些需要前置action方法(将就这么叫吧)的业务方法,实现的话在BaseAction中将出现大量的判断语句,而且ActionMapping也相当混乱.
后来想着不就是判断执行方法时是否需要进行访问控制吗,直接在方法名上做出标记不就行了.在不需要访问控制的方法名上加上"_nop",在权限验证前进行if判断.这样就需要一个if语句就搞定了.
其实解决这个问题的方法有两种:
1.在权限验证之前判断,不涉及到访问控制系统,如上述一样.
2.在访问控制系统中实现判断,这种情况就是在permission表中没有这种resource和operation的组合,既没有这样的permission.判断就根据这实现.
考虑到性能问题,方法1优于方法2,所以现在的实现就是采取这种方法.但是在访问控制系统中也实现了不存在给定resource和operation的permission判断及处理方法.
大概就这些了.
相关文章推荐
- 8.3.3: 资源访问---使用Resource作为属性
- [原创]java WEB学习笔记55:Struts2学习之路---详解struts2 中 Action,如何访问web 资源,解耦方式(使用 ActionContext,实现 XxxAware 接口),耦合方式(通过ServletActionContext,通过实现 ServletRequestAware, ServletContextAware 等接口的方式)
- JAVA数据库访问控制框架设计与使用
- 使用springMVC实现基于资源的访问控制
- 使用对象锁与多线程访问资源控制
- Semaphor控制资源访问的使用方法
- Semaphor控制资源访问的使用方法
- 【Java开发】使用Semaphore控制资源访问并发量
- Windows XP 共享 Workgroup无法访问.您可能没有权限使用网络资源
- 使用 IoC 反转控制的三种设计模式
- WPF使用多线程更新UI界面 涉及资源访问需要使用委托处理
- VS2012 Unit Test(Void, Action, Func) —— 对无返回值、使用Action或Func作为参数、多重载的方法进行单元测试
- Linux中使用cgroups控制内存资源介绍
- 计算机无法访问,您可能没有权限使用网络资源。
- ASP.NET Core的身份认证框架IdentityServer4(8)- 使用密码认证方式控制API访问
- IIS中遇到无法预览的问题(HTTP 错误 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置,您无权查看此目录或页面。)
- vss报错Workgroup无法访问,您可能没有权限使用网络资源解决办法
- 基于角色访问控制的权限系统设计
- ZooKeeper使用ACL进行访问控制