企业架构--系统权限控制学习记录

      传统的权限控制思想主要包括以下几个对象：用户，角色，资源。用户通过角色来控制资源，资源对象里拥有模块内进行访问的URL，如删除用户权限，可表示为：user!delete.action.这样判断一个用户是否拥有删除权限的逻辑过程可以表示为用户拥有的角色是否包含此资源。三个对象的关系为，用户与角色有多对多关系，角色与资源又有多对多关系。在web应用中，一般采用Filter来进行权限验证，并且会事先把不需要验证的一些图片，css文件直接过滤掉，直接验证有访问资源意义的链接，即通过对request中传过来的url，验证此时访问的用户所拥有的角色的资源是否拥有此资源的访问权限，如果有则允许访问，没有则不许访问。

     在页面上可以采用自定义标签的方式，来控制一些没有权限的按钮是否显示，自定义标签的实现方式主要过程为，先写标签描述文件，在标签描述文件里引入需要验证逻辑的类，然后在java类里面编写逻辑，java类继承的类为TagSupport，实现里面的doTao()方法，也可以有其他的实现方法，总体流程为先定义自定义标签，再编写实现类。