-------------------------------------------- 總大綱 --------------------------------------
Ralasafe是基于MIT協(xié)議開源的，數(shù)據(jù)級權(quán)限管理中間件。開源有段時間了，大約有2個月了。根據(jù)社區(qū)的反饋，我打算圍繞Ralasafe最佳實踐，書寫一系列BLOG。
 
大體內(nèi)容有：
1， 登錄控制： 哪些頁面需要登錄后才能訪問，登錄用戶名、密碼驗證，登錄轉(zhuǎn)向頁面；
2， URL權(quán)限控制：哪些頁面訪問需要進行角色權(quán)限驗證，怎樣驗證最簡單有效，如何處理驗證失敗情況；
3， 數(shù)據(jù)級權(quán)限管理方案探討：選擇中間件呢還是框架？
4， Ralasafe體系結(jié)構(gòu)： 用戶怎么讀取，用戶有哪些字段，怎樣與應(yīng)用基礎(chǔ)；
5， 數(shù)據(jù)級查詢權(quán)限管理： 如何給不同的人分配不同的查詢數(shù)據(jù)權(quán)限，返回where條件呢，還是直接返回結(jié)果集？
6， 數(shù)據(jù)級決策權(quán)限管理： 如何給不同的人分配不同的數(shù)據(jù)操作權(quán)限，當用戶不具備權(quán)限怎么辦？
7， 其他細小的權(quán)限控制： 如下拉框顯示內(nèi)容；按鈕、鏈接是否顯示，圖片是否顯示等。
-------------------------------------------- ------- --------------------------------------
 
今天說的登錄控制，內(nèi)容主要有：哪些頁面需要登錄控制、登錄驗證邏輯、登錄后頁面轉(zhuǎn)向哪里，以及權(quán)限菜單等問題。雖然本系列講解權(quán)限管理，尤其是數(shù)據(jù)級權(quán)限管理。但嚴格意義來說，登錄控制，并不屬于權(quán)限管理內(nèi)容。它屬于用戶身份認證內(nèi)容。權(quán)限基本都與用戶相關(guān)，用戶首先就涉及到用戶名密碼驗證。所以我們從這里開始說起。
 
需求考察

仔細考察登錄控制，無外乎這些需求：
1，哪些頁面需要登錄后才能查看，而且哪些頁面還需要進一步驗證角色權(quán)限；
2，登錄頁面在哪里？
3，登錄用戶名、密碼驗證；
4，登錄后轉(zhuǎn)向哪個頁面？

分析清楚需求后，我們來考察使用什么方案，以其達到目標：將共用與個性的東西分開，而且盡可能共同，個性的東西盡可能使用配置方式。

解決方案

Ralasafe解決方案：
1，登錄界面和登錄轉(zhuǎn)向后頁面，由開發(fā)人員編寫，這屬于個性化內(nèi)容，有CSS、頁面布局等；
2，哪些頁面需要登錄才能查看，可以通過Filter來控制：哪些頁面需要控制，使用web.xml里面的url-pattern，是否登錄使用Filter驗證session；
3，哪些頁面還需要進行角色權(quán)限驗證，這個我們拆分出去，做為功能權(quán)限驗證，以后再談；
4，用戶名、密碼驗證可以共用：就是從request中讀取用戶名、密碼值，或許可能還要對密碼進行加密，然后與數(shù)據(jù)庫用戶表相關(guān)字段進行比對。
5，登錄后頁面轉(zhuǎn)向：通過給session添加一個gotoPage屬性，驗證成功后轉(zhuǎn)向該頁面即可。

實例說明

OK，我們套個實例說話！就拿ralasafe-demo來說，下載地址：http://ralasafe.org/zh/download/download.jsp
ralasafe/demo里面的頁面需要登錄后才能訪問，ralasafe/demo/login.jsp頁面是登錄頁面；ralasafe/demo/main.jsp是登錄后，顯示功能菜單的頁面。
 

配置LoginFilter

我們先將LoginFilter配置到web.xml文件：

 
 這里有幾個屬性上面沒有提到。uniqueFieldsParams表示頁面的哪些字段可以唯一確定用戶，一般情況下只有一個參數(shù)。這里配置是loginName（Login頁面的字段input name屬性），那么login.jsp里面就有這樣的代碼：

如果需要多個字段確定一個用戶，比如需要用戶名＋機構(gòu)唯一確定，那么web.xml可以配置成：

 passwordParam表示頁面哪個字段是密碼字段；encryptMethod表示密碼使用什么加密方法，ralasafe提供了base64,md5hex,shahex加密方法。你也可以自行開發(fā)加密方法，詳見LoginFilter javadoc。
 

哪些頁面需要登錄驗證

我們只要將需要驗證的頁面，安裝該Filter即可。配置web.xml：

表示ralasafe/demo下的所有URL資源都需要經(jīng)過LoginFilter過濾。

驗證邏輯

驗證邏輯全部在LoginFilter里面。LoginFilter主要做這些事情：
 
1，首先判斷客戶端是否在請求登錄頁面，如果是，那么轉(zhuǎn)向登錄頁面，以免造成死循環(huán)；
2，然后如果是請求登錄，那么讀取用戶名、密碼（可能密碼還要加密）進行驗證；
3，如果不是請求登錄，那么這時需要查看session用戶是否登錄了。如果沒有登錄，那么轉(zhuǎn)到登錄頁面；如果已經(jīng)登錄繼續(xù)doChain。
細心的朋友會問，怎樣去后臺驗證用戶名密碼呢？
Ralasafe是通過配置元數(shù)據(jù)（詳見這里），來告訴系統(tǒng)哪張表是用戶表，哪些字段是用戶唯一字段（和LoginFilter里里面的uniqueFieldsParams順序?qū)?yīng)上即可，無需名稱相同）。
LoginFilter字段指明哪個字段是密碼字段，LoginFilter還需要指明和用戶表的哪個字段進行比較。也就是userPasswordField參數(shù)意義。詳見：LoginFilter javadoc。

登錄頁面轉(zhuǎn)向

如果客戶端在沒有登錄的情況下，請求/ralasafe/demo/employMng路徑，那么登錄成功后，系統(tǒng)最好直接轉(zhuǎn)到該路徑。LoginFilter會將該路徑采集下來，以“gotoPage”屬性保存到session。登陸成功后，會移除掉該屬性（不占用session資源）。
此時，LoginFilter的form action是這么編寫的：
 
至此，我相信一切你都明白了。
 
------------------------分隔線----------------------------
畢竟我們搞ralasafe很多年了（04年開始的），所以很難更好地站在使用者角度（雖然，我們在努力，一直在努力），內(nèi)容肯定有欠缺和錯誤。歡迎大家提出寶貴建議，歡迎大家努力拍磚！
我們也將繼續(xù)保持開源，為大家貢獻好的軟件。也懇請大家支持我們！
 
注：下期講解 2， URL權(quán)限控制：哪些頁面訪問需要進行角色權(quán)限驗證，怎樣驗證最簡單有效，如何處理驗證失敗情況；
ralasafe團隊博客在javaeye/baidu/blogjava等空間，同步發(fā)布。ralasafe官方網(wǎng)站：http://www.ralasafe.org/zh