我是 ACL 编码领域的初学者。我没有过滤器和其他概念的先验知识,并且由于时间限制而无法学习。所以我找到了实现 ACL 的替代方法。
我只有 3 个用户,假设是 user、admin 和 sys。
所以我只是创建以相应的用户类型和页面名称开头的 jsp 页面。
例如:-“userCheckStatus.jsp”和“sysCreateUser.jsp”
然后我检查存储在 session 中的用户类型是否与用户尝试访问的相应页面匹配。我只是想知道这是一个很好的做法吗?它能否为我提供我想要实现的目标。如果没有,那么上述方法还缺少什么,请告知我。
提前致谢!!!
最佳答案
你的方法可能有效。一个缺点是,如果您改变主意并且想要向另一用户授予访问权限或引入新角色,则必须完全重写它。例如,您必须找到对该 jsp 的所有引用并修复链接。如果用户为该jsp添加了书签,则将找不到该jsp。某种间接(映射配置文件中对 jsp 的访问)会更好。
标准 servlet 安全性并不难尝试。请参阅 Oracle documentation 。好消息是 servlet API 对其有直接支持。
关于java - 访问控制-j2ee,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23585392/