当前位置：首页 > 资讯 > 技术文档

用定制标签库和配置文件实现对JSP页面元素的访问控制

时间：2020-02-12 22:21 编辑：来源：阅读：
扫一扫，手机访问

摘要：用定制标签库和配置文件实现对JSP页面元素的访问控制

控制客户端访问是开发一个基于B/S的架构的系统的开发者必须考虑的问题。JSP或SERVLET规范的基于配置文件的安全策略对资源的控制是以文件为单位的，即只可以定义某个视图全部可以或全部不能被访问。一个比较复杂的系统往往要要求对视图的一部分（如JSP页面里的一个按钮）提供访问控制，只允许被某种角色的用户访问。如果采用可编程的安全策略，因为对用户角色和操作的定义在开发时不能定义，而且这种策略加大了程序员的工作量，它可能不是一种好的办法。我采用定制标签库和和配置文件来解决这个问题：把要权限控制的JSP页面元素如BUTTON，作为标签的内容。为受保护的内容起一个唯一的名称，把这个名称作为标签的一个属性。某个角色对某个页面元素或一组页面元素是否有权限，在XML配置文件中描述。

例如，下面的JSP页面有“详细”和“修改”两个按钮。 <%@ taglib uri="http://mytag" prefix="custTag" %> <html> <head> <title>test</title> </head> <body > <form name="form1" > <table width="600" border="0" cellspacing="0" cellpadding="2" > <tr> <td> <custTag:JspSecurity elementName="employeedetail" > <input type="button" name="detail" value="详细" > </custTag:JspSecurity> <custTag:JspSecurity elementName="employeemodify" > <input type="button" name="modify" value="修改" > </custTag:JspSecurity> </td> </tr> </table> <br> </form> </body>

下面XML配置文件内容表示对角色为common的用户，只对名为employeedetail 的页面元素即“详细”按钮有权限，对角色为“admin”的用户，对名为employeedetail 和employeemodify的页面元素即两个按钮都有权限。 <?xml version="1.0" encoding="GB2312"?> <security> <htmlElement name="employeedetail" > <roleName name="common" /> <roleName name="admin" /> </htmlElement> <htmlElement name="employeemodify" > <roleName name="admin" /> </htmlElement> </security>

定制标签类JspSecurityTag继承了BodyTagSupport类。BodyTagSupport有一个变量bodyContent指向起始标志和结束标志之间的内容。JspSecurityTag的私有静态变量roleList保存从XML文件中取到角色和页面元素的对应集合，私有变量ElementName对应页面元素的名称。当解析该定制标签时，首先先取到页面元素的名称，再取到当前用户的角色，如果角色有该页面元素的权限，就显示标签正文（即页面元素），否则不显示。

Pagekage com.presentation.viewhelper.JspSecurityTag;

import javax.servlet.jsp.tagext.*; import javax.servlet.jsp.*; import java.util.*; import org.xml.sax.*; import org.xml.sax.helpers.*; import org.w3c.dom.*; import java.io.*; import javax.xml.parsers.*;

public class JspSecurityTag extends BodyTagSupport { //保存从XML文件中取到角色和页面元素的对应集合 private static ArrayList roleList; //页面元素的名称 private String elementName;

public void setElementName(String str) { this.elementName=str; }

public int doAfterBody() throws JspException{ if(roleList==null) { roleList=getList(); } try{ //如果认证通过就显示标签正文，否则跳过标签正文，就这么简单 if(isAuthentificated(elementName)) { if(bodyContent != null){ JspWriter out=bodyContent.getEnclosingWriter(); bodyContent.writeOut(out); }else { } } }catch(Exception e){ throw new JspException(); } return SKIP_BODY; } //从XML配置文件中取到角色和页面元素的对应，保存到静态的ArrayList private ArrayList getList() { DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); DocumentBuilder db = null; Document doc=null; NodeList childlist = null; String elementName; String roleName; int index; ArrayList theList = new ArrayList();

try{ db = dbf.newDocumentBuilder(); }catch(Exception e) { e.printStackTrace(); } try{ doc = db.parse(new File("security.xml")); }catch(Exception e) { e.printStackTrace(); } //读取页面元素列表 NodeList elementList = doc.getElementsByTagName("htmlElement"); for(int i=0;i<elementList.getLength();i++) { Element name = ((Element)elementList.item(i)); //页面元素的名称 elementName = name.getAttribute("name"); //该页面元素对应的有权限的角色的列表 NodeList rolNodeList = ((NodeList)name.getElementsByTagName("roleName")); for(int j=0;j<rolNodeList.getLength();j++) { //有权限的角色的名称 //roleName = ((Element)rolNodeList.item(j)).getNodeValue(); roleName = ((Element)rolNodeList.item(j)).getAttribute("name"); theList.add(new ElementAndRole(elementName,roleName)); } } return theList; }

//检查该角色是否有该页面元素的权限 private boolean isAuthentificated(String elementName) { String roleName = ""; //在用户登陆时把该用户的角色保存到SESSION中，这里只是直接从SESSION中取用//户角色。 roleName=this.pageContext.getSession().getAttribute("rolename”); // roleList包含elementName属性为elementName，roleName属性为roleName的//ElementAndRole对象，则该角色有该页面元素的权限 if(roleList.contains(new ElementAndRole(elementName,roleName))) { return true; } } return false; } //表示角色和页面元素的对应的关系的内部类 class ElementAndRole{ String elementName; String roleName; public ElementAndRole(String elementName,String roleName) { this.elementName=elementName; this.roleName=roleName; } public boolean equals(Object obj) { return(((ElementAndRole)obj).elementName.equals(this.elementName)&&((ElementAndRole)obj).roleName.equals(this.roleName)); } } } 在标签库能被JSP页面使用前，要做以下三个步骤 1、在JSP页面中包括一个taglib元素，确定需要加载到内存的标签库。前面的JSP文件的第一行：<%@ taglib uri="http://mytag" prefix="custTag" %>做的就是这件事。 2、在配置文件web.xml中使用taglib元素确定TLD文件的位置。在web.xml中增加： <taglib> <taglib-uri>http://mytag</taglib-uri> <taglib-location> /WEB-INF/mytag.tld </taglib-location> </taglib> 3、TLD文件必须使用taglib元素标识每个定制标签极其属性。下面是使用这个标签库对应的TLD文件 <?xml version="1.0" encoding="ISO-8859-1" ?> <!DOCTYPE taglib PUBLIC "-//Sun Microsystems, Inc.//DTD JSP Tag Library 1.1//EN" "http://java.sun.com/j2ee/dtds/web-jsptaglibrary_1_1.dtd"> <taglib> <tlibversion>1.0</tlibversion> <jspversion>1.1</jspversion> <shortname>myTag</shortname> <uri/> <tag> <name>JspSecurity</name> <tagclass>com.presentation.viewhelper.JspSecurityTag</tagclass> <info> JspSecurityTag </info> <attribute> <name>elementName</name> <required>true</required> <rtexprvalue>true</rtexprvalue> </attribute> </tag> </taglib>

全部评论(0)

上一篇：JSP模板应用指南（上）
下一篇：JSP实现添加功能和分页显示实例分析

资讯排行榜
更多>>