Ralasafe開源有段時間了,大約有2個月了。根據社區的反饋,我打算圍繞Ralasafe最佳實踐,書寫一系列BLOG。
?
大體內容有:
1, 登錄控制: 哪些頁面需要登錄后才能訪問,登錄用戶名、密碼驗證,登錄轉向頁面;
2, URL權限控制:哪些頁面訪問需要進行角色權限驗證,怎樣驗證最簡單有效,如何處理驗證失敗情況;
3, 數據級權限管理方案探討:選擇中間件呢還是框架?
4, Ralasafe體系結構: 用戶怎么讀取,用戶有哪些字段,怎樣與應用基礎;
5, 數據級查詢權限管理: 如何給不同的人分配不同的查詢數據權限,返回where條件呢,還是直接返回結果集?
6, 數據級決策權限管理: 如何給不同的人分配不同的數據操作權限,當用戶不具備權限怎么辦?
7, 其他細小的權限控制: 如下拉框顯示內容;按鈕、鏈接是否顯示,圖片是否顯示等。
-------------------------------------------- ------- --------------------------------------
?
今天說的登錄控制,內容主要有:哪些頁面需要登錄控制、登錄驗證邏輯、登
錄后頁面轉向哪里,以及權限菜單等問題。雖然本系列講解權限管理,尤其是數據級權限管理。但嚴格意義來說,登錄控制,并不屬于權限管理內容。它屬于用戶身
份認證內容。權限基本都與用戶相關,用戶首先就涉及到用戶名密碼驗證。所以我們從這里開始說起。
?
需求考察
仔細考察登錄控制,無外乎這些需求:
- 哪些頁面需要登錄后才能查看,而且哪些頁面還需要進一步驗證角色權限;
- 登錄頁面在哪里?
- 登錄用戶名、密碼驗證;
- 登錄后轉向哪個頁面?
分析清楚需求后,我們來考察使用什么方案,以其達到目標:將共用與個性的東西分開,而且盡可能共同,個性的東西盡可能使用配置方式。
解決方案
- 登錄界面和登錄轉向后頁面,由開發人員編寫,這屬于個性化內容,有CSS、頁面布局等;
- 哪些頁面需要登錄才能查看,可以通過Filter來控制:哪些頁面需要控制,使用web.xml里面的url-pattern,是否登錄使用Filter驗證session;
- 哪些頁面還需要進行角色權限驗證,這個我們拆分出去,做為功能權限驗證,以后再談;
- 用戶名、密碼驗證可以共用:就是從request中讀取用戶名、密碼值,或許可能還要對密碼進行加密,然后與數據庫用戶表相關字段進行比對。
- 登錄后頁面轉向:通過給session添加一個gotoPage屬性,驗證成功后轉向該頁面即可。
實例說明
ralasafe/demo里面的頁面需要登錄后才能訪問,ralasafe/demo/login.jsp頁面是登錄頁面;ralasafe/demo/main.jsp是登錄后,顯示功能菜單的頁面。
?
配置LoginFilter
我們先將LoginFilter配置到web.xml文件:
?
-
<
filter
>
??
-
????<filter-name>ralasafe/LoginFilter</filter-name>??
-
????<filter-class>org.ralasafe.webFilter.LoginFilter</filter-class>??
-
????<init-param>??
-
????????<param-name>loginPage</param-name>??
-
????????<param-value>/ralasafe/demo/login.jsp</param-value>??
-
????</init-param>??
-
????<init-param>??
-
????????<param-name>uniqueFieldsParams</param-name>??
-
????????<param-value>loginName</param-value>??
-
????</init-param>??
-
????<init-param>??
-
????????<param-name>passwordParam</param-name>??
-
????????<param-value>password</param-value>??
-
????</init-param>??
-
????<!--init-param>??
-
????????<param-name>encryptMethod</param-name>??
-
????????<param-value>shahex</param-value>??
-
????</init-param-->??
-
</
filter
>
??
<filter>
<filter-name>ralasafe/LoginFilter</filter-name>
<filter-class>org.ralasafe.webFilter.LoginFilter</filter-class>
<init-param>
<param-name>loginPage</param-name>
<param-value>/ralasafe/demo/login.jsp</param-value>
</init-param>
<init-param>
<param-name>uniqueFieldsParams</param-name>
<param-value>loginName</param-value>
</init-param>
<init-param>
<param-name>passwordParam</param-name>
<param-value>password</param-value>
</init-param>
<!--init-param>
<param-name>encryptMethod</param-name>
<param-value>shahex</param-value>
</init-param-->
</filter>
?
?這里有幾個屬性上面沒有提到。uniqueFieldsParams表示頁面的哪些字段可以唯一確定用戶,一般情況下只有一個參數。這里配置是loginName(Login頁面的字段input name屬性),那么login.jsp里面就有這樣的代碼:
?
-
<
input
?
name
="
<
span
?style="
color
:?rgb(255,?0,?0);"
>
<
strong
>
loginName
</
strong
>
</
span
>
"?
type
=
"text"
?
class
=
"username"
>
??
<input name="loginName" type="text" class="username">
?
?如果需要多個字段確定一個用戶,比如需要用戶名+機構唯一確定,那么web.xml可以配置成:
?
-
<
init-param
>
??
-
????<param-name>uniqueFieldsParams</param-name>??
-
????<param-value>loginName,<span?style="color:?rgb(255,?0,?0);"><strong>unitId</strong></span></param-value>??
-
</
init-param
>
??
<init-param>
<param-name>uniqueFieldsParams</param-name>
<param-value>loginName,unitId</param-value>
</init-param>
?passwordParam表示頁面哪個字段是密碼字段;encryptMethod表示密碼使用什么加密方法,ralasafe提供了base64,md5hex,shahex加密方法。你也可以自行開發加密方法,詳見LoginFilter javadoc。
?
哪些頁面需要登錄驗證
我們只要將需要驗證的頁面,安裝該Filter即可。配置web.xml:
?
-
<
filter-mapping
>
??
-
????<filter-name>ralasafe/LoginFilter</filter-name>??
-
????<url-pattern>/ralasafe/demo/*</url-pattern>??
-
</
filter-mapping
>
??
<filter-mapping>
<filter-name>ralasafe/LoginFilter</filter-name>
<url-pattern>/ralasafe/demo/*</url-pattern>
</filter-mapping>
表示ralasafe/demo下的所有URL資源都需要經過LoginFilter過濾。
驗證邏輯
驗證邏輯全部在LoginFilter里面。LoginFilter主要做這些事情:
?
- 首先判斷客戶端是否在請求登錄頁面,如果是,那么轉向登錄頁面,以免造成死循環;
- 然后如果是請求登錄,那么讀取用戶名、密碼(可能密碼還要加密)進行驗證;
- 如果不是請求登錄,那么這時需要查看session用戶是否登錄了。如果沒有登錄,那么轉到登錄頁面;如果已經登錄繼續doChain。
細心的朋友會問,怎樣去后臺驗證用戶名密碼呢?
Ralasafe是通過配置元數據(
詳見這里),來告訴系統哪張表是用戶表,哪些字段是用戶唯一字段(和LoginFilter里里面的
uniqueFieldsParams順序對應上即可,無需名稱相同)。
LoginFilter字段指明哪個字段是密碼字段,LoginFilter還需要指明和用戶表的哪個字段進行比較。也就是userPasswordField參數意義。詳見:
LoginFilter javadoc。
登錄頁面轉向
如果客戶端在沒有登錄的情況下,請求/ralasafe/demo/employMng路徑,那么登錄成功后,系統最好直接轉到該路徑。
LoginFilter會將該路徑采集下來,以“gotoPage”屬性保存到session。登陸成功后,會移除掉該屬性(不占用session資源
)。
此時,LoginFilter的form action是這么編寫的:
?
-
<
%??
-
????String?gotoPage?=?(String)?session.getAttribute("gotoPage");??
-
????if?(StringUtil.isEmpty(gotoPage))?{??
-
????????gotoPage?=?"main.jsp";??
-
????}??
-
?%>??
-
<
form
?
name
=
""
?
action
=
"<%=gotoPage%>"
?
method
=
"post"
>
??
<%
String gotoPage = (String) session.getAttribute("gotoPage");
if (StringUtil.isEmpty(gotoPage)) {
gotoPage = "main.jsp";
}
%>
<form name="" action="<%=gotoPage%>" method="post">
?
至此,我相信一切你都明白了。?
?
------------------------分隔線----------------------------
畢竟我們搞ralasafe很多年了(04年開始的),所以很難更好地站在使用者角度(雖然,我們在努力,一直在努力),內容肯定有欠缺和錯誤。歡迎大家提出寶貴建議,歡迎大家努力拍磚!
我們也將繼續保持開源,為大家貢獻好的軟件。也懇請大家支持我們!
?
注:下期講解?2, URL權限控制:哪些頁面訪問需要進行角色權限驗證,怎樣驗證最簡單有效,如何處理驗證失敗情況;
ralasafe團隊博客在javaeye/baidu/sina等空間,同步發布。ralasafe官方網站:
http://www.ralasafe.org/zh