使用拦截器来进行用户权限控制的思路
在SSM项目结构当中,应当将不同角色操作的Controller分布在不同的包当中,方便进行权限控制(也就是springmvc配置文件当中的拦截器配置)尽量将一些对高级权限进行操作的controller写在对应的角色的controller下面,同样是为了方便进行权限控制。
对于权限控制拦截器类的编写,由于配置文件是根据url路径进行配置的,所以应当根据各种高级权限操作所需要访问的url进行权限控制拦截器类的编写。
首先获取用户session,对用户角色进行判断,如果用户角色足够,那么就允许用户访问该高权限url,否则将跳转到一个公共页面(首页、个人信息页面、上一页)
当然,说到权限控制,如何让不同用户跳转到不同的页面又是一个问题。
可以使用下面的一种解决方案:
用户角色权限判断可以在后端进行:从公共页面跳转到私有页面的时候(如从首页跳转到个人页面)可以在后端获取用户session进行判断,再根据角色权限返回不同的modelAndView页面。
这种方法可以用来防止低权限用户访问到高权限的url,也就变成了用户角色权限控制,但不利于代码维护,这种方法只适用于角色权限简单的项目。如果是对角色权限有详细划分的话,这种方法就会变得很麻烦
所以,最好的解决方法就是用shiro来解决用户角色权限控制问题~~