使用JavaEE的ServerAuthModule模块和web.xml进行相应配置,实现对用户的权限控制

ServerAuthModule这里不细说,可以自行百度。

重点在注释:

 <!-- 声明用于安全约束的角色 -->
<security-role>
<role-name>spx.main</role-name>
</security-role>
<security-role>
<role-name>spx.user</role-name>
</security-role> <security-constraint>
<web-resource-collection>
<!-- 这个名字是必须的,自定义,由工具使用,别的地方不使用 -->
<web-resource-name>all</web-resource-name>
<!-- 指定要受约束的资源,至少有一个。可以有多个. -->
<url-pattern>/*</url-pattern>
<!-- 指定受约束的方法
如果没有<http-method>元素,所有http方法都受到约束。
这里放置了POST方法,表示只有POST方法是受约束的。其他任何角色的人可以访问GET和其他的方法。
但不能访问POST方法,除非通过下面<auth-constraint>的验证。
-->
<http-method>POST</http-method>
</web-resource-collection>
<!-- auth-constraint为可选 -->
<!-- 如果没有<auth-constraint>表示所有角色都能访问POST方法,如果是<auth-constraint/>表示任何角色都不能访问POST方法 -->
<auth-constraint>
<!-- 可选。表示哪些角色能够在指定的资源上调用受约束的方法。这里表示只有拥有spx.user角色的人能够访问POST方法
角色与上面<security-role>里的<role-name>对应 -->
<role-name>spx.user</role-name>
</auth-constraint>
</security-constraint>

在项目中导入sam模块的jar包,将项目打成war包,放入JavaEE容器中,启动服务,如此就实现了一次URL级别的权限控制。

假设通过以上验证进入到了VerifyAuthModuleServlet的doPost方法中,

可以在doPost中加上以下

UserInfo userInfo = (UserInfo)req.getUserPrincipal();

来获取到用户信息。

还可以加上以下来判断用户是否拥有其他角色:

 if(req.isUserInRole("spx.admin")) {
res.setStatus(200);
res.getWriter().print(hello);
return;
}

注意:"spx.admin"必须是web-app划分出来的角色中的一种,否则这里一直false。这里和@RolesAllowed("spx.main")有所区别,@RolesAllowed("spx.main")只需用户有该权限即可,

而没必要一定要存在于<security-role>中。

EJB中进行方法级别的权限判断

如以下无状态会话bean

@Stateless
public class HelloWorldBean implements HelloWorldLocal { private Logger logger = Logger.getLogger(HelloWorldBean.class.getName()); @EJB //采用注解方式
private Other other; @Resource
private SessionContext sessionContext; @RolesAllowed("spx.user")
public String sayHello(String name) { Principal principal = sessionContext.getCallerPrincipal();
logger.info("==========EJB============="+principal.getName()); return name+"说:你好世界!"+other.sayMe();
} }

@RolesAllowed判断请求的用户是否拥有此权限,如果拥有权限则可以进入方法体,不拥有则抛出EJBAccessException异常

 try{
hello = helloWorldLocal.sayHello("jiangmeng");
}catch (EJBAccessException e){
res.setStatus(403);
res.getWriter().write("{\"err\":\"403 forbidden\"}");
}

我们可以通过捕获该异常,给客户端相应的提示。

而且我们注意到上面可以在EJB中通过SessionContext.getCallerPrincipal()来获取到用户信息。

上一篇:GMF:如何在不打开Editor的情况下生成图片


下一篇:Python的with语句(文件打开方式)