http://www.aygfsteel.com/youxia/archive/2007/03/01/101320.html

http://forum.springside.org.cn/viewthread.php?tid=927&highlight=%E6%9D%83%E9%99%90
簡單實用一分鐘上手級權限控制

找回來自己以前的一個項目， 用的是通過filter過濾來管理權限的方法， 很簡單，但也很實用。 這個項目并不小，但這么一個類就已經可以滿足其權限管理的需要了，所以其實很多時候，權限管理大家并不必要想得那么復雜， 對于不少系統，簡單通過filter來管理就ok了, simple 也是一種美^_^ 在web.xml里加入

<!--================權限 設置================--> <filter> <filter-name>Authentication</filter-name> <filter-class>com.springside.demo.security.UrlFilter</filter-class> <init-param> <param-name>onError</param-name> <param-value>/login.jsp</param-value> </init-param> </filter> <filter-mapping> <filter-name>Authentication</filter-name> <!-- 只過濾 .jsp 結尾的url, 其余的如 .do, .html, .jpg, .css 等不作過濾--> <url-pattern>*.jsp</url-pattern> </filter-mapping>

?

UrlFilter filter類的實現

public class UrlFilter implements Filter { private FilterConfig filterConfig; private FilterChain chain; private HttpServletRequest request; private HttpServletResponse response; public void destroy() { this.filterConfig = null; } public void init(FilterConfig filterConfig) throws ServletException { this.filterConfig = filterConfig; } public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException { this.chain = chain; this.request = (HttpServletRequest) servletRequest; this.response = ((HttpServletResponse) servletResponse); String url = request.getServletPath(); if (url == null) url = ""; // 獲取session中的loginuser對象 HttpSession session = request.getSession(); LoginUser loginuser = (LoginUser) session.getAttribute("loginuser"); if (baseUrl(url, request)) { // 如果是登陸界面等無須<u><b><font color="#FF0000">權限</font></b></u>訪問的的公用界面則跳過 chain.doFilter(request, response); } else if (loginuser == null) { checkLogin(url); } else { verifyUrl(url, loginuser); } } private void checkLogin(String url) throws ServletException, IOException { // 如果session中獲取不到 loginuser 對象，要不就是session 過期了，要不就是還沒登陸。所以返回登陸界面 // 在登陸后記得把 loginuser 對象置于 session中 if (url.indexOf("/index.jsp") >= 0 && "login".equals(request.getParameter("act"))) { // 獲取request中username,password String username = request.getParameter("username"); String password = request.getParameter("password"); UserDao userDao = new UserDao(); if (userDao.authUser(username, password)) { LoginUser user = userDao.getUser(username); request.getSession().setAttribute("loginuser", user); verifyUrl(url,user); return; } } response.sendRedirect("login.jsp"); } private void verifyUrl(String url, LoginUser loginuser) throws IOException, ServletException { // 獲取 loginuser 擁有的所有資源串 Set royurl = loginuser.getResStrings(); if (royurl != null && royurl.size() > 0 && pass(royurl, url, request.getParameterMap())) { chain.doFilter(request, response); } else { response.setContentType("text/html;charset=GBK"); response .getWriter() .println( "<div style='margin: 100 auto;text-align: center;" + "font: bold 18px 宋體;color: #0066CC;vertical-align: middle'> Sorry,您沒有<u><b><font color="#FF0000">權限</font></b></u>訪問該資源!</div> "); } } /** * 判斷是否是公用界面 */ protected boolean baseUrl(String url, HttpServletRequest request) { if (url.indexOf("/login.jsp") >= 0) { return true; } return false; } /** * 判斷該用戶是否有權請求該url * * @param royurl * user擁有的授權的的url串集合 * @param url * 當前請求的url * @param reqmap * 當前request的參數 * @return 是否通過該url */ protected boolean pass(Set royurl, String url, Map reqmap) { boolean match = true; for (Iterator iter = royurl.iterator(); iter.hasNext();) { // 獲取資源 match = true; String res_string = (String) iter.next(); if (res_string.indexOf("*") > 0) { res_string = res_string.substring(0, res_string.indexOf("*")); if (url.substring(0, res_string.length()).equalsIgnoreCase( res_string)) { return true; // 增加通配符比較 } } // 分割url與參數 String[] spw = res_string.split("\\?"); // 用"\\?" 轉義后即可得到正確的結 if (!url.equalsIgnoreCase(spw[0])) { match = false; } if (match && spw.length > 1) { String[] spa = spw[1].split("\\&"); // 分拆各參數 for (int j = 0; j < spa.length; j++) { String[] spe = spa[j].split("="); // 分拆鍵與值 String key = spe[0]; String value = ""; if (spe.length > 1) { value = spe[1].trim(); } // 輪詢 String[] values = (String[]) reqmap.get(key); if (values != null) { for (int k = 0; k < values.length; k++) { if (value.equalsIgnoreCase(values[k])) { match = true; break; } match = false; } if (!match) { break; } } } } if (match) { break; } } return match; } public static void main(String[] args) { UrlFilter filter = new UrlFilter(); String url = "/baseProd/product.do"; Map reqmap = new HashMap(); // 當前請求productline參數是11,12 reqmap.put("productline", new String[] { "11", "12" }); String str; Set royurl = new HashSet(); // 和授權的的url根本不同，false royurl.add("/user.do?a=1&b=2"); System.out.println("match false:" + filter.pass(royurl, url, reqmap)); // 授權的請求參數13,14時 false royurl.add("/baseProd/product.do?productline=13&productline=14"); System.out.println("match false:" + filter.pass(royurl, url, reqmap)); // 授權的請求參數11,13時 false royurl.add("/baseProd/product.do?productline=11&productline=13"); System.out.println("match false:" + filter.pass(royurl, url, reqmap)); // 授權的請求參數11時 true royurl.add("/baseProd/product.do?productline=11"); System.out.println("match true:" + filter.pass(royurl, url, reqmap)); // 參數的不論順序 true royurl.add("/baseProd/product.do?productline=12&productline=11"); System.out.println("match true:" + filter.pass(royurl, url, reqmap)); royurl.clear(); // 支持 "*" 號作通配符 true royurl.add("/baseProd/product.do*"); System.out.println("match ture:" + filter.pass(royurl, url, reqmap)); } } LoginUser 類:

http://blog.chinaunix.net/u/11262/showart_213703.html
http://wiki.springside.org.cn/display/springside/Acegi+Reference

RBAC初學筆記

什么是RBAC？

RBAC就是Role-Based Access Control，基于角色的訪問控制。角色訪問控制（RBAC）引入了Role的概念,目的是為了隔離User(即動作主體，Subject)與Privilege(權限，表示對Resource的一個操作，即Operation+Resource)，更符合企業的用戶、組織、數據和應用特征。

RBAC的關注點在于Role與user，Role與privilege的關系，也就是User Assignment與Permission Assignment的關系。

RBAC有以下優點：

1、減少授權管理的復雜性，降低管理開銷
　　2、靈活的支持企業的安全策略，對企業的變化有很大的伸縮性

?

解決復雜的權限管理問題的過程可以抽象概括為：判斷【Who是否可以對What進行How的訪問操作（Operator）】這個邏輯表達式的值是否為True的求解過程。

RBAC中的幾個重要概念：

l???????? Who：權限的擁有者或主體。典型的有Principal、User、Group、Role、Actor等等。跟授權有關系的實體就只有角色（Role）和用戶（User）。譬如：業務經理（Role），張三（User）

Role：作為一個用戶(User)與權限(Privilege)的代理層，解耦了權限和用戶的關系，所有的授權應該給予Role而不是直接給User或Group。基于角色的訪問控制方法的思想就是把對用戶的授權分成兩部份，用角色來充當用戶行駛權限的中介。角色是一組訪問權限的集合，一個用戶可以是很多角色的成員，一個角色也可以有很多個權限，而一個權限也可以重復配置于多個角色。

User：用戶就是一個可以獨立訪問計算機系統中的數據或者用數據表示的其它資源的主體，我們用USERS表示一個用戶集合。用戶在一般情況下是指人。

Group:是一組相關user的集合。User從group繼承出來，也就具有了該group的角色權限。

個人覺得可以這么認為，role是抽象化了的user或group。

l???????? What：權限針對的資源（Resource）（包括資源類別（the type of Resource）和資源實例（the instance of Resource））。譬如：報表。

粗粒度：表示類別級，即僅考慮對象的類別(the type of object)，不考慮對象的某個特定實例。比如，用戶管理中，創建、刪除，對所有的用戶都一視同仁，并不區分操作的具體對象實例。

細粒度：表示實例級，即需要考慮具體對象的實例(the instance of object)，當然，細粒度是在考慮粗粒度的對象類別之后才再考慮特定實例。比如，合同管理中，列表、刪除，需要區分該合同實例是否為當前用戶所創建。

l???????? How：亦作action，表示某種訪問方法（亦請參考Operator條目解釋）。譬如：刪除。

l? Operator：操作。表示施加于What的How動作。是一種Resource Related的概念，單獨的How動作是沒有實際意義的，譬如：刪除；只有與具體資源結合在一起才有意義，譬如：刪除報表。

下面的圖展示了user,group,role,how的關系

?

權限系統的核心由以下三部分構成：

1.????? 創造權限

2.?????? 分配權限

3.?????? 使用權限

?

系統各部分的主要參與者對照如下：

1.創造權限 - Programer創造，

2.分配權限 - Administrator 分配，

3.使用權限– User

?

1. Programer 向權限系統提供 Operator = Privilege + Resource
2. Administrator 利用 Operator 這個基本元素，來創造他理想中的權限模型。
   如，創建角色，創建用戶組，給用戶組分配用戶，將用戶組與角色關聯等等...
   這些操作都是由 Administrator 來完成的.
3. User 使用 Administrator 分配給的權限去使用各個系統。

程序員只要回答一個問題，就是, 什么權限可以訪問什么資源，也就是前面說的 Operator。程序員提供 Operator 就意味著給系統穿上了盔甲。Administrator 就可以按照他的意愿來建立他所希望的權限框架。Operator是這個系統中最關鍵的部分，它是一個紐帶，一個系在Programmer，Administrator，User之間的紐帶。

http://www.pagebreeze.com/

好久沒有學習搞web開發了，最近要弄一個東西，又把appfuse找出來進行研究

用最新的appfuse1.9.3版本！

到:http"://appfuse.org/下載appfuse1.93

用idea打開
只需要修改properties.xml中的

把其中的localhost修改成實際的ip就ok了
比如說是：192.169.0.1:3306，注意一定要加上端口號！

然后在ant中運行相關的任務：
我這里的情況是：
建數據庫表和數據的不走是
運行 db－prepare－－》db－create－－》db－load，這樣數據就建上了

然后deploy，在ie中運行appfuse就ok了！