http://www.tkk7.com/youxia/archive/2007/03/01/101320.html

http://forum.springside.org.cn/viewthread.php?tid=927&highlight=%E6%9D%83%E9%99%90
簡單實用一分鐘上手級權限控制

找回來自己以前的一個項目， 用的是通過filter過濾來管理權限的方法， 很簡單，但也很實用。 這個項目并不小，但這么一個類就已經可以滿足其權限管理的需要了，所以其實很多時候，權限管理大家并不必要想得那么復雜， 對于不少系統(tǒng)，簡單通過filter來管理就ok了, simple 也是一種美^_^ 在web.xml里加入

<!--================權限 設置================--> <filter> <filter-name>Authentication</filter-name> <filter-class>com.springside.demo.security.UrlFilter</filter-class> <init-param> <param-name>onError</param-name> <param-value>/login.jsp</param-value> </init-param> </filter> <filter-mapping> <filter-name>Authentication</filter-name> <!-- 只過濾 .jsp 結尾的url, 其余的如 .do, .html, .jpg, .css 等不作過濾--> <url-pattern>*.jsp</url-pattern> </filter-mapping>

?

UrlFilter filter類的實現

public class UrlFilter implements Filter { private FilterConfig filterConfig; private FilterChain chain; private HttpServletRequest request; private HttpServletResponse response; public void destroy() { this.filterConfig = null; } public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; } public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException { this.chain = chain; this.request = (HttpServletRequest) servletRequest; this.response = ((HttpServletResponse) servletResponse); String url = request.getServletPath(); if (url == null) url = ""; // 獲取session中的loginuser對象 HttpSession session = request.getSession(); LoginUser loginuser = (LoginUser) session.getAttribute("loginuser"); if (baseUrl(url, request)) { // 如果是登陸界面等無須<u><b><font color="#FF0000">權限</font></b></u>訪問的的公用界面則跳過 chain.doFilter(request, response); } else if (loginuser == null) { checkLogin(url); } else { verifyUrl(url, loginuser); } } private void checkLogin(String url) throws ServletException, IOException { // 如果session中獲取不到 loginuser 對象，要不就是session 過期了，要不就是還沒登陸。所以返回登陸界面 // 在登陸后記得把 loginuser 對象置于 session中 if (url.indexOf("/index.jsp") >= 0 && "login".equals(request.getParameter("act"))) { // 獲取request中username,password String username = request.getParameter("username"); String password = request.getParameter("password"); UserDao userDao = new UserDao(); if (userDao.authUser(username, password)) { LoginUser user = userDao.getUser(username); request.getSession().setAttribute("loginuser", user); verifyUrl(url,user); return; } } response.sendRedirect("login.jsp"); } private void verifyUrl(String url, LoginUser loginuser) throws IOException, ServletException { // 獲取 loginuser 擁有的所有資源串 Set royurl = loginuser.getResStrings(); if (royurl != null && royurl.size() > 0 && pass(royurl, url, request.getParameterMap())) { chain.doFilter(request, response); } else { response.setContentType("text/html;charset=GBK"); response .getWriter() .println( "<div style='margin: 100 auto;text-align: center;" + "font: bold 18px 宋體;color: #0066CC;vertical-align: middle'> Sorry,您沒有<u><b><font color="#FF0000">權限</font></b></u>訪問該資源!</div> "); } } /** * 判斷是否是公用界面 */ protected boolean baseUrl(String url, HttpServletRequest request) { if (url.indexOf("/login.jsp") >= 0) { return true; } return false; } /** * 判斷該用戶是否有權請求該url * * @param royurl * user擁有的授權的的url串集合 * @param url * 當前請求的url * @param reqmap * 當前request的參數 * @return 是否通過該url */ protected boolean pass(Set royurl, String url, Map reqmap) { boolean match = true; for (Iterator iter = royurl.iterator(); iter.hasNext();) { // 獲取資源 match = true; String res_string = (String) iter.next(); if (res_string.indexOf("*") > 0) { res_string = res_string.substring(0, res_string.indexOf("*")); if (url.substring(0, res_string.length()).equalsIgnoreCase( res_string)) { return true; // 增加通配符比較 } } // 分割url與參數 String[] spw = res_string.split("\\?"); // 用"\\?" 轉義后即可得到正確的結 if (!url.equalsIgnoreCase(spw[0])) { match = false; } if (match && spw.length > 1) { String[] spa = spw[1].split("\\&"); // 分拆各參數 for (int j = 0; j < spa.length; j++) { String[] spe = spa[j].split("="); // 分拆鍵與值 String key = spe[0]; String value = ""; if (spe.length > 1) { value = spe[1].trim(); } // 輪詢 String[] values = (String[]) reqmap.get(key); if (values != null) { for (int k = 0; k < values.length; k++) { if (value.equalsIgnoreCase(values[k])) { match = true; break; } match = false; } if (!match) { break; } } } } if (match) { break; } } return match; } public static void main(String[] args) { UrlFilter filter = new UrlFilter(); String url = "/baseProd/product.do"; Map reqmap = new HashMap(); // 當前請求productline參數是11,12 reqmap.put("productline", new String[] { "11", "12" }); String str; Set royurl = new HashSet(); // 和授權的的url根本不同，false royurl.add("/user.do?a=1&b=2"); System.out.println("match false:" + filter.pass(royurl, url, reqmap)); // 授權的請求參數13,14時 false royurl.add("/baseProd/product.do?productline=13&productline=14"); System.out.println("match false:" + filter.pass(royurl, url, reqmap)); // 授權的請求參數11,13時 false royurl.add("/baseProd/product.do?productline=11&productline=13"); System.out.println("match false:" + filter.pass(royurl, url, reqmap)); // 授權的請求參數11時 true royurl.add("/baseProd/product.do?productline=11"); System.out.println("match true:" + filter.pass(royurl, url, reqmap)); // 參數的不論順序 true royurl.add("/baseProd/product.do?productline=12&productline=11"); System.out.println("match true:" + filter.pass(royurl, url, reqmap)); royurl.clear(); // 支持 "*" 號作通配符 true royurl.add("/baseProd/product.do*"); System.out.println("match ture:" + filter.pass(royurl, url, reqmap)); } } LoginUser 類:

http://blog.chinaunix.net/u/11262/showart_213703.html
http://wiki.springside.org.cn/display/springside/Acegi+Reference

RBAC初學筆記

什么是RBAC？

RBAC就是Role-Based Access Control，基于角色的訪問控制。角色訪問控制（RBAC）引入了Role的概念,目的是為了隔離User(即動作主體，Subject)與Privilege(權限，表示對Resource的一個操作，即Operation+Resource)，更符合企業(yè)的用戶、組織、數據和應用特征。

RBAC的關注點在于Role與user，Role與privilege的關系，也就是User Assignment與Permission Assignment的關系。

RBAC有以下優(yōu)點：

1、減少授權管理的復雜性，降低管理開銷
　　2、靈活的支持企業(yè)的安全策略，對企業(yè)的變化有很大的伸縮性

?

解決復雜的權限管理問題的過程可以抽象概括為：判斷【Who是否可以對What進行How的訪問操作（Operator）】這個邏輯表達式的值是否為True的求解過程。

RBAC中的幾個重要概念：

l???????? Who：權限的擁有者或主體。典型的有Principal、User、Group、Role、Actor等等。跟授權有關系的實體就只有角色（Role）和用戶（User）。譬如：業(yè)務經理（Role），張三（User）

Role：作為一個用戶(User)與權限(Privilege)的代理層，解耦了權限和用戶的關系，所有的授權應該給予Role而不是直接給User或Group。基于角色的訪問控制方法的思想就是把對用戶的授權分成兩部份，用角色來充當用戶行駛權限的中介。角色是一組訪問權限的集合，一個用戶可以是很多角色的成員，一個角色也可以有很多個權限，而一個權限也可以重復配置于多個角色。

User：用戶就是一個可以獨立訪問計算機系統(tǒng)中的數據或者用數據表示的其它資源的主體，我們用USERS表示一個用戶集合。用戶在一般情況下是指人。

Group:是一組相關user的集合。User從group繼承出來，也就具有了該group的角色權限。

個人覺得可以這么認為，role是抽象化了的user或group。

l???????? What：權限針對的資源（Resource）（包括資源類別（the type of Resource）和資源實例（the instance of Resource））。譬如：報表。

粗粒度：表示類別級，即僅考慮對象的類別(the type of object)，不考慮對象的某個特定實例。比如，用戶管理中，創(chuàng)建、刪除，對所有的用戶都一視同仁，并不區(qū)分操作的具體對象實例。

細粒度：表示實例級，即需要考慮具體對象的實例(the instance of object)，當然，細粒度是在考慮粗粒度的對象類別之后才再考慮特定實例。比如，合同管理中，列表、刪除，需要區(qū)分該合同實例是否為當前用戶所創(chuàng)建。

l???????? How：亦作action，表示某種訪問方法（亦請參考Operator條目解釋）。譬如：刪除。

l? Operator：操作。表示施加于What的How動作。是一種Resource Related的概念，單獨的How動作是沒有實際意義的，譬如：刪除；只有與具體資源結合在一起才有意義，譬如：刪除報表。

下面的圖展示了user,group,role,how的關系

?

權限系統(tǒng)的核心由以下三部分構成：

1.????? 創(chuàng)造權限

2.?????? 分配權限

3.?????? 使用權限

?

系統(tǒng)各部分的主要參與者對照如下：

1.創(chuàng)造權限 - Programer創(chuàng)造，

2.分配權限 - Administrator 分配，

3.使用權限– User

?

1. Programer 向權限系統(tǒng)提供 Operator = Privilege + Resource
2. Administrator 利用 Operator 這個基本元素，來創(chuàng)造他理想中的權限模型。
   如，創(chuàng)建角色，創(chuàng)建用戶組，給用戶組分配用戶，將用戶組與角色關聯(lián)等等...
   這些操作都是由 Administrator 來完成的.
3. User 使用 Administrator 分配給的權限去使用各個系統(tǒng)。

程序員只要回答一個問題，就是, 什么權限可以訪問什么資源，也就是前面說的 Operator。程序員提供 Operator 就意味著給系統(tǒng)穿上了盔甲。Administrator 就可以按照他的意愿來建立他所希望的權限框架。Operator是這個系統(tǒng)中最關鍵的部分，它是一個紐帶，一個系在Programmer，Administrator，User之間的紐帶。