使用struts框架的好处之一就是所有Action类继承一个基类,将访问控制在基类中处理.
1.实现一个继承自struts的Action的BaseAction.从action类名提取资源名称,在mapping中的parameter提取当前action做为opertion.将userId,resource,operation作为参数传递到权限验证接口进行验证.参考Struts的DispatchAction使用反射机制调用请求的方法.
2.所有的Action类都继承自BaseAction,一个资源对应一个Action类.
设计中出现的问题:
在处理一个业务事务中,需要的不止一个action方法,例如修改资源这个业务过程,它需要两个ation,一个是显示资源信息进行编辑的方法edit,一个是将编辑好后的资源信息提交到服务器进行持久化操作的方法update.这样就是业务方法与action方法不对应.这里我们不需要对edit这个方法进行访问控制,需要控制的是update方法.并且在进行权限指派中也不需要edit这个权限.
问题解决思路:
自己被这个问题困绕了几天,在javaeye的帖子中有提到在Action上在加一层module层,但是只是提到,没有给出什么思路.只好自己慢慢琢磨了.开始的时候是在FormBean中加一个state属性,根据该属性判断该操作是edit还是update,如果是update就进行权限验证,如果是edit就放行直接调用相应的方法.但是这种方式也有个问题,就是有很多象edit这样,如add,delete,或者其他一些需要前置action方法(将就这么叫吧)的业务方法,实现的话在BaseAction中将出现大量的判断语句,而且ActionMapping也相当混乱.
后来想着不就是判断执行方法时是否需要进行访问控制吗,直接在方法名上做出标记不就行了.在不需要访问控制的方法名上加上"_nop",在权限验证前进行if判断.这样就需要一个if语句就搞定了.
其实解决这个问题的方法有两种:
1.在权限验证之前判断,不涉及到访问控制系统,如上述一样.
2.在访问控制系统中实现判断,这种情况就是在permission表中没有这种resource和operation的组合,既没有这样的permission.判断就根据这实现.
考虑到性能问题,方法1优于方法2,所以现在的实现就是采取这种方法.但是在访问控制系统中也实现了不存在给定resource和operation的permission判断及处理方法.
大概就这些了.