我是ACL编码领域的初学者。我没有过滤器和其他概念的先验知识,也因为时间限制而无法学习。所以我找到了另一种实现ACL的方法。
我只有3个用户,假设是user,admin和sys。
所以我只是创建jsp页面,从相应的用户类型和页面名称开始。
例如: - “userCheckStatus.jsp”和“sysCreateUser.jsp”
然后我检查存储在会话中的usertype是否与用户尝试访问的相应页面匹配。我只想知道这是一个很好的做法,它会为我提供我想要达到的目标。如果没有,那么上述方法缺少什么,请告诉我相同的。
提前致谢!!!
答案 0 :(得分:1)
您的方法可行。一个缺点是,如果您改变主意并且想要授予其他用户访问权限或引入新角色,则必须完全重写它。例如,您必须找到对该jsp的所有引用并修复链接。如果用户为jsp添加了书签,则将无法再找到它。某种间接(在配置文件中映射访问jsp)会更好。
标准的servlet安全性并不难尝试。请参阅Oracle documentation。好消息是servlet API直接支持它。