-------------------------------------------- 總大綱 ---------------------------------
Ralasafe開源有段時(shí)間了，大約有2個月了。根據(jù)社區(qū)的反饋，我打算圍繞Ralasafe最佳實(shí)踐，書寫一系列BLOG。

大體內(nèi)容有：
1， 登錄控制： 哪些頁面需要登錄后才能訪問，登錄用戶名、密碼驗(yàn)證，登錄轉(zhuǎn)向頁面；
2， URL權(quán)限控制：哪些頁面訪問需要進(jìn)行角色權(quán)限驗(yàn)證，怎樣驗(yàn)證最簡單有效，如何處理驗(yàn)證失敗情況；
3， 數(shù)據(jù)級權(quán)限管理方案探討：選擇中間件呢還是框架？
4， Ralasafe體系結(jié)構(gòu)： 用戶怎么讀取，用戶有哪些字段，怎樣與應(yīng)用基礎(chǔ)；
5， 數(shù)據(jù)級查詢權(quán)限管理： 如何給不同的人分配不同的查詢數(shù)據(jù)權(quán)限，返回where條件呢，還是直接返回結(jié)果集？
6， 數(shù)據(jù)級決策權(quán)限管理： 如何給不同的人分配不同的數(shù)據(jù)操作權(quán)限，當(dāng)用戶不具備權(quán)限怎么辦？
7， 其他細(xì)小的權(quán)限控制： 如下拉框顯示內(nèi)容；按鈕、鏈接是否顯示，圖片是否顯示等。
-------------------------------------------- ------- --------------------------------

今天說的URL權(quán)限控制，內(nèi)容主要有：URL權(quán)限控制，當(dāng)用戶訪問某URL時(shí)，進(jìn)行角色權(quán)限驗(yàn)證。如果有相應(yīng)權(quán)限，則允許其正常訪問；否則，轉(zhuǎn)到拒絕頁面。
我們依然通過一個Filter來實(shí)現(xiàn)，這樣就無需在代碼中增加權(quán)限判斷，也無需套用任何框架。對于整個權(quán)限管理系統(tǒng)來說，本節(jié)內(nèi)容也非常簡單。

理論分析

當(dāng)軟件實(shí)施人員進(jìn)行系統(tǒng)實(shí)施的時(shí)候，會將一些訪問菜單定義為權(quán)限。然后定義角色，讓角色擁有權(quán)限。然后再將權(quán)限賦給用戶。
所以，當(dāng)用戶請求某個URL的時(shí)候，要不該URL需要權(quán)限驗(yàn)證，要不就是不需要權(quán)限驗(yàn)證。
檢驗(yàn)標(biāo)準(zhǔn)就是：看權(quán)限表里面有沒有該URL。檢驗(yàn)的時(shí)候，唯一需要注意的是：URL參數(shù)，比如employeeManage?op=add。

數(shù)據(jù)庫模型

權(quán)限表：id<int>,name<varchar>,url<varchar>,description<varchar>   | pk(id)
角色表：id<int>,name<varchar>,description<varchar>                        | pk(id)
角色-權(quán)限關(guān)系表：roleId<int>,privilegeId<int>                                       | pk(roleId,privilegeId)
用戶-角色關(guān)系表：userId<int>(根據(jù)你系統(tǒng)的情況，也可能是varchar等),roleId<int> | pk(userId,roleId)

Ralasafe方案

Ralasafe權(quán)限管理中間件(下載地址)，既可以管理和控制功能級權(quán)限，也可以管理和控制數(shù)據(jù)級權(quán)限。開發(fā)者還可以根據(jù)需求，只選擇功能級控制，或者只選擇數(shù)據(jù)級控制。

當(dāng)安裝好用戶元數(shù)據(jù)的時(shí)候，Ralasafe自動創(chuàng)建所有權(quán)限表。相關(guān)權(quán)限數(shù)據(jù)，都由Ralasafe界面進(jìn)行管理（即錄入）。

Ralasafe的管理界面，在功能權(quán)限方面可以做到：
1，管理權(quán)限界面；
2，管理角色界面，并給角色賦權(quán)限；
3，給用戶分配角色界面。這里還需要注意：不同用戶管理可以給不同范圍的用戶分配角色。比如：總公司的管理員可以給所有人分配角色；分公司管理員可以給本分公司及下屬子公司用戶分配角色。

Ralasafe將最后一點(diǎn)視為數(shù)據(jù)級權(quán)限。詳見：http://www.ralasafe.org/zh/guide/reference/safe.html#ralasafe 和http://www.ralasafe.org/jforum/posts/list/11.page


將org.ralasafe.webFilter.UrlAclFilter配置到web.xml即可，而且配置工作量極其少。

 
該Filter具有這些功能：
1，在用戶具有權(quán)限的時(shí)候，正常訪問；
2，在用戶不具有權(quán)限的時(shí)候，轉(zhuǎn)到拒絕頁面；
3，如果用戶沒用登錄，轉(zhuǎn)到登錄頁面，讓用戶先登錄。

其他

這里我簡單說說spring security。
spring security在控制功能權(quán)限的時(shí)候，還會幫助開發(fā)人員控制Dao/Service等組件。我個人認(rèn)為這種控制是多余的。
因?yàn)椋δ軝?quán)限控制應(yīng)該站在最終用戶角度進(jìn)行考慮。Dao/Service等編程開發(fā)級的組件，并不是最終用戶關(guān)心的事情。所以無需進(jìn)行功能權(quán)限控制。
另外，大家在使用spring security，我建議將功能級權(quán)限控制放在數(shù)據(jù)庫里面，而不是annotation到j(luò)ava code里面。因?yàn)閍nnotation到j(luò)ava code里面，最終用戶就不能控制了。

注：ralasafe團(tuán)隊(duì)博客在javaeye/baidu/blogjava等空間，同步發(fā)布。ralasafe官方網(wǎng)站：http://www.ralasafe.org/zh