1
我有一个过滤器,使用ThreadLocal将用户凭据传播到堆栈。我想重复使用相同的过滤器来进行授权。java servlet过滤器:检查用户权限的最佳做法是什么?
假设webapp(ajax)有大约100个JSP,部分应用程序是使用普通JSP开发的,其余部分使用Spring MVC 3(使用控制器和JSP)。如果请求快到了.JSP或Spring MVC的控制资源,我的第一个想法是
- 把JSP页面(和Spring MVC资源)的实际需要授权的列表,然后
- 检查用户的角色具有访问该资源(或JSP)的正确特权。
如果应用程序有100个这样的资源需要检查,那么将所有JSP名称放在Filter中都是没有意义的(这也是一个维护噩梦)。如果我要将所有JSP的列表移动到属性文件以及该资源(JSP)所需的所有特权的相应列表中,则可以遍历JSP并检查用户是否具有所需的特权之一。
该计划是否有意义?人们如何在服务器上实施对JSP /资源的授权?