平台自定义资源权限控制使用方法

本文以一个简单的实例来介绍bboss平台自定义资源权限控制使用方法。先定义一个资源类型,关联一操作组,操作组中定义的操作都关联了一组url,这些url访问权限与操作的权限一致,用户拥有操作的权限也就拥有了关联的url的权限(这样可以有效防止低权限用户);然后介绍如何通过安全组件在程序实现权限的检测功能。

1.定义资源类型和资源操作组并定义操作关联的url
在resources目录下新增一个resource-test.xml文件,在文件中添加资源类型和资源操作组:
<?xml version="1.0" encoding="UTF-8"?>
<resources >
	<!--
		操作组定义:
		定义系统资源的操作组,不同的资源类型涉及不同的操作组,操作组中定义同一类型的操作
	-->	 
     <group id="globaltestgroup" name="全局测试权限组" >
        <operation id="read" priority="10" name="可读" >
        	<!-- 
        		操作对应的一系列url,如果用户没有操作的权限也就没有相应的url的访问权限,也就是说
        		没有操作的权限,在浏览器直接访问url,也无法访问
        		url可以有多个,同时可以为以下有效模式:
        		/test/testsss.jsp
        		/test/*.jsp
        		/test/**/*.jsp
        	 -->
        	<authoration>		 	
			 	<url>/test/testopurlpermissionread.jsp</url>
			 	<url>/test/b.jsp</url>
			</authoration>
        </operation>
		
		<operation id="delete" priority="30" name="删除" >
		    <!-- 
        		url说明:        		
        		地址分两部分:
        		第一部分是url地址必选项/test/testopurlpermissiondelete.jsp				
				第二部分是json格式的参数,其中资源操作参数resource,必选项参数,resource参数值对应一个request请求参数名称,
				对应的request参数值匹配一个资源标识,匹配url的资源操作权限资源标识必须和其保持一致,
				参数required标识resource是否必须false表示如果url /test/testopurlpermissiondelete.jsp可以带资源码参数,也可以不带,
				如果带了则按照resource匹配规则来控制url访问权限,true标识必须带资源码,如果没带直接阻止url访问。
        	 -->
			<authoration>				 
			 	<url><![CDATA[/test/testopurlpermissiondelete.jsp{"resource":"orgCode"|"required":true}]]></url>
			</authoration>
		</operation>
		
     </group>
     <!-- 资源类型定义 
     system指定了资源关联的子系统标识,只有与资源类型关联后,在相应的子系统的权限管理中才会出现对应的资源类型,才能对资源类型中的资源对应的操作进行授权(可以对用户、机构、和角色进行授权)
     -->
	<resource id="testresource" name="测试资源" auto="false" system="cms,module">
	<!--关联资源操作组-->
		<operationgroup groupid="globaltestgroup"/>
	<!-- 定义一个全局资源,并声明其关联的操作组 -->
		<globaloperationgroup globalresourceid="globaltest" groupid="globaltestgroup"/>
	</resource>
</resources>


resource-test.xml文件写好后需要配置到/resources/config-manager.xml文件中,以便平台启动时加载resource-test.xml定义的资源类型和资源操作信息。可以在resource-test.xml文件中配置多个资源类型。/resources/config-manager.xml装载资源文件实例如下:
<resources module="console" languages="zh_CN,en_US">
		  <resourcefile src="resource.xml" desc="公用权限授予资源配置文件"/>
		  <resourcefile src="resources-sys.xml" desc="系统管理资源配置文件"/>		
		  <resourcefile src="resources-content.xml" desc="内容管理资源配置文件"/>
		  <resourcefile src="resources-test.xml" desc="测试资源配置"/>
		  
		</resources>

2.资源授权界面

平台自定义资源权限控制使用方法

3.权限控制
接下来介绍在程序中如何进行权限控制。
java代码中的权限检测
com.frameworkset.platform.security.AccessControl accesscontroler = com.frameworkset.platform.security.AccessControl.getAccessControl();	//获取平台当前用户会话对象
	boolean hasdeletepermission = accesscontroler.checkPermission("globaltest",//资源id
																"delete",//资源操作
																"testresource"//资源类型
																);//返回boolean值,true标识有权限,false标识没有权限

在jsp中结合true/false标签来控制界面元素是否显示或者按钮是否带处理事件:
<%
	com.frameworkset.platform.security.AccessControl accesscontroler = com.frameworkset.platform.security.AccessControl.getAccessControl();	//获取平台当前用户会话对象
	boolean hasdeletepermission = accesscontroler.checkPermission("globaltest",//资源id
																"delete",//资源操作
																"testresource"//资源类型
																);//返回boolean值,true标识有权限,false标识没有权限
	
%>
<pg:true actual="<%=hasdeletepermission %>">
							<a href="#"  onclick="delteUse();">删除用户</a>
						</pg:true>
						<pg:false actual="<%=hasdeletepermission %>">
							没有删除用户的权限
						</pg:false>
上一篇:DLA新增函数发布:身份证、星座、拼音、Json数组、经纬度城市查询、互联网坐标系经纬度转换等


下一篇:在家也能学,支付宝里600门课免费上