主页 > 知识库 > 用定制标签库和配置文件实现对JSP页面元素的访问控制

用定制标签库和配置文件实现对JSP页面元素的访问控制

热门标签:开封便宜外呼系统报价 怎样把地图标注出来 淮南腾讯地图标注 漯河办理400电话 黄石智能营销电销机器人效果 地图标注人员兼职 电话机器人的特色和创新 商丘百应电话机器人有没有效果 腾讯地图标注商户改名注册入驻

       控制客户端访问是开发一个基于B/S的架构的系统的开发者必须考虑的问题。JSPSERVLET规范的基于配置文件的安全策略对资源的控制是以文件为单位的,即只可以定义某个视图全部可以或全部不能被访问。一个比较复杂的系统往往要要求对视图的一部分(如JSP页面里的一个按钮)提供访问控制,只允许被某种角色的用户访问。如果采用可编程的安全策略,因为对用户角色和操作的定义在开发时不能定义,而且这种策略加大了程序员的工作量,它可能不是一种好的办法。

       我采用定制标签库和和配置文件来解决这个问题:把要权限控制的JSP页面元素如BUTTON,作为标签的内容。为受保护的内容起一个唯一的名称,把这个名称作为标签的一个属性。某个角色对某个页面元素或一组页面元素是否有权限,在XML配置文件中描述。

 

       例如,下面的JSP页面有“详细”和“修改”两个按钮。

%@ taglib uri="http://mytag" prefix="custTag" %>

html>

head>

title>test/title>

/head>

body >

form name="form1" >

   table width="600" border="0" cellspacing="0" cellpadding="2" >

      tr>

       td>

            custTag:JspSecurity elementName="employeedetail" >

              input type="button" name="detail"  value="详细" >

            /custTag:JspSecurity>

            custTag:JspSecurity elementName="employeemodify" >

              input type="button" name="modify"  value="修改" >

            /custTag:JspSecurity>

        /td>

      /tr>

/table>

br>

/form>

/body>

 

       下面XML配置文件内容表示对角色为common的用户,只对名为employeedetail 的页面元素即“详细”按钮有权限,对角色为“admin”的用户,对名为employeedetail employeemodify的页面元素即两个按钮都有权限。

?xml version="1.0" encoding="GB2312"?>

security>

htmlElement name="employeedetail" >

roleName name="common" />

roleName name="admin" />

/htmlElement>

htmlElement name="employeemodify" >

roleName name="admin" />

/htmlElement>

/security>

 

       定制标签类JspSecurityTag继承了BodyTagSupport类。BodyTagSupport有一个变量bodyContent指向起始标志和结束标志之间的内容。JspSecurityTag的私有静态变量roleList保存从XML文件中取到角色和页面元素的对应集合,私有变量ElementName对应页面元素的名称。当解析该定制标签时,首先先取到页面元素的名称,再取到当前用户的角色,如果角色有该页面元素的权限,就显示标签正文(即页面元素),否则不显示。

 

Pagekage com.presentation.viewhelper.JspSecurityTag;

 

import javax.servlet.jsp.tagext.*;

import javax.servlet.jsp.*;

import java.util.*;

import org.xml.sax.*;

import org.xml.sax.helpers.*;

import org.w3c.dom.*;

import java.io.*;

import javax.xml.parsers.*;

 

public class JspSecurityTag extends BodyTagSupport {

  //保存从XML文件中取到角色和页面元素的对应集合

  private static ArrayList roleList;

  //页面元素的名称

  private String elementName;

 

  public void setElementName(String str)

  {

    this.elementName=str;

  }

 

  public int doAfterBody() throws JspException{

    if(roleList==null)

    {

      roleList=getList();

    }

    try{

        //如果认证通过就显示标签正文,否则跳过标签正文,就这么简单

        if(isAuthentificated(elementName))

        {

          if(bodyContent != null){

            JspWriter out=bodyContent.getEnclosingWriter();

            bodyContent.writeOut(out);

          }else

          {

          }

        }

    }catch(Exception e){

      throw new JspException();

    }

    return SKIP_BODY;

  }

  //XML配置文件中取到角色和页面元素的对应,保存到静态的ArrayList

  private ArrayList getList()

  {

    DocumentBuilderFactory dbf =

        DocumentBuilderFactory.newInstance();

    DocumentBuilder db = null;

    Document doc=null;

    NodeList childlist = null;

    String elementName;

    String roleName;

    int index;

    ArrayList theList = new ArrayList();

 

    try{

      db = dbf.newDocumentBuilder();

    }catch(Exception e)

    {

      e.printStackTrace();

    }

    try{

      doc = db.parse(new File("security.xml"));

    }catch(Exception e)

    {

      e.printStackTrace();

    }

    //读取页面元素列表

    NodeList elementList = doc.getElementsByTagName("htmlElement");

    for(int i=0;ielementList.getLength();i++)

    {

      Element name = ((Element)elementList.item(i));

      //页面元素的名称

      elementName = name.getAttribute("name");

      //该页面元素对应的有权限的角色的列表

      NodeList rolNodeList = ((NodeList)name.getElementsByTagName("roleName"));

      for(int j=0;jrolNodeList.getLength();j++)

      {

        //有权限的角色的名称

        //roleName = ((Element)rolNodeList.item(j)).getNodeValue();

        roleName = ((Element)rolNodeList.item(j)).getAttribute("name");

        theList.add(new ElementAndRole(elementName,roleName));

      }

    }

    return theList;

  }

 

  //检查该角色是否有该页面元素的权限

  private boolean isAuthentificated(String elementName)

  {

String roleName = "";

//在用户登陆时把该用户的角色保存到SESSION中,这里只是直接从SESSION中取用//户角色。

roleName=this.pageContext.getSession().getAttribute("rolename”);

// roleList包含elementName属性为elementNameroleName属性为roleName//ElementAndRole对象,则该角色有该页面元素的权限

     if(roleList.contains(new ElementAndRole(elementName,roleName)))

          {

               return true;

          }

    }

    return  false;

  }

  //表示角色和页面元素的对应的关系的内部类

  class ElementAndRole{

    String elementName;

    String roleName;

    public ElementAndRole(String elementName,String roleName)

    {

      this.elementName=elementName;

      this.roleName=roleName;

    }

    public boolean equals(Object obj)

    {

      return(((ElementAndRole)obj).elementName.equals(this.elementName)((ElementAndRole)obj).roleName.equals(this.roleName));

    }

  }

}

在标签库能被JSP页面使用前,要做以下三个步骤

1、  JSP页面中包括一个taglib元素,确定需要加载到内存的标签库。前面的JSP文件的第一行:%@ taglib uri="http://mytag" prefix="custTag" %>做的就是这件事。

2、  在配置文件web.xml中使用taglib元素确定TLD文件的位置。在web.xml中增加:

  taglib>

    taglib-uri>http://mytag/taglib-uri>

    taglib-location>

       /WEB-INF/mytag.tld

    /taglib-location>

  /taglib>

3TLD文件必须使用taglib元素标识每个定制标签极其属性。

下面是使用这个标签库对应的TLD文件

?xml version="1.0" encoding="ISO-8859-1" ?>

!DOCTYPE taglib

 PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.1//EN"

 "http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd">

taglib>

  tlibversion>1.0/tlibversion>

  jspversion>1.1/jspversion>

  shortname>myTag/shortname>

  uri/>

  tag>

    name>JspSecurity/name>

    tagclass>com.presentation.viewhelper.JspSecurityTag/tagclass>

    info>

       JspSecurityTag

    /info>

    attribute>

       name>elementName/name>

       required>true/required>

       rtexprvalue>true/rtexprvalue>

    /attribute>

  /tag>

/taglib>

您可能感兴趣的文章:
  • jsp自定义标签用法实例详解
  • JSP使用自定义标签防止表单重复提交的方法
  • jsp中自定义标签用法实例分析
  • JSP自定义分页标签TAG全过程
  • jsp自定义标签之ifelse与遍历自定义标签示例
  • JSP自定义标签获取用户IP地址的方法
  • 基于JSP 自定义标签使用实例介绍
  • JSP自定义标签Taglib实现过程重点总结
  • jsp 自定义标签实例
  • JSP 自定义标签之一 简单实例
  • jsp 标准标签库简析
  • jsp通过自定义标签库实现数据列表显示的方法

标签:大兴安岭 马鞍山 岳阳 拉萨 武威 郑州 红河 亳州

巨人网络通讯声明:本文标题《用定制标签库和配置文件实现对JSP页面元素的访问控制》,本文关键词  用,定制,标签,库,和,配置文件,;如发现本文内容存在版权问题,烦请提供相关信息告之我们,我们将及时沟通与处理。本站内容系统采集于网络,涉及言论、版权与本站无关。
  • 相关文章
  • 下面列出与本文章《用定制标签库和配置文件实现对JSP页面元素的访问控制》相关的同类信息!
  • 本页收集关于用定制标签库和配置文件实现对JSP页面元素的访问控制的相关信息资讯供网民参考!
  • 推荐文章