1
我有一個過濾器,使用ThreadLocal將用戶憑據傳播到堆棧。我想重複使用相同的過濾器來進行授權。java servlet過濾器:檢查用戶權限的最佳做法是什麼?
假設webapp(ajax)有大約100個JSP,部分應用程序是使用普通JSP開發的,其餘部分使用Spring MVC 3(使用控制器和JSP)。如果請求快到了.JSP或Spring MVC的控制資源,我的第一個想法是
- 把JSP頁面(和Spring MVC資源)的實際需要授權的列表,然後
- 檢查用戶的角色具有訪問該資源(或JSP)的正確特權。
如果應用程序有100個這樣的資源需要檢查,那麼將所有JSP名稱放在Filter中都是沒有意義的(這也是一個維護噩夢)。如果我要將所有JSP的列表移動到屬性文件以及該資源(JSP)所需的所有特權的相應列表中,則可以遍歷JSP並檢查用戶是否具有所需的特權之一。
該計劃是否有意義?人們如何在服務器上實施對JSP /資源的授權?