本文以一个简单的实例来介绍bboss平台自定义资源权限控制使用方法。先定义一个资源类型,关联一操作组,操作组中定义的操作都关联了一组url,这些url访问权限与操作的权限一致,用户拥有操作的权限也就拥有了关联的url的权限(这样可以有效防止低权限用户);然后介绍如何通过安全组件在程序实现权限的检测功能。
1.定义资源类型和资源操作组并定义操作关联的url
在resources目录下新增一个resource-test.xml文件,在文件中添加资源类型和资源操作组:
resource-test.xml文件写好后需要配置到/resources/config-manager.xml文件中,以便平台启动时加载resource-test.xml定义的资源类型和资源操作信息。可以在resource-test.xml文件中配置多个资源类型。/resources/config-manager.xml装载资源文件实例如下:
2.资源授权界面
3.权限控制
接下来介绍在程序中如何进行权限控制。
java代码中的权限检测
在jsp中结合true/false标签来控制界面元素是否显示或者按钮是否带处理事件:
1.定义资源类型和资源操作组并定义操作关联的url
在resources目录下新增一个resource-test.xml文件,在文件中添加资源类型和资源操作组:
<?xml version="1.0" encoding="UTF-8"?>
<resources >
<!--
操作组定义:
定义系统资源的操作组,不同的资源类型涉及不同的操作组,操作组中定义同一类型的操作
-->
<group id="globaltestgroup" name="全局测试权限组" >
<operation id="read" priority="10" name="可读" >
<!--
操作对应的一系列url,如果用户没有操作的权限也就没有相应的url的访问权限,也就是说
没有操作的权限,在浏览器直接访问url,也无法访问
url可以有多个,同时可以为以下有效模式:
/test/testsss.jsp
/test/*.jsp
/test/**/*.jsp
-->
<authoration>
<url>/test/testopurlpermissionread.jsp</url>
<url>/test/b.jsp</url>
</authoration>
</operation>
<operation id="delete" priority="30" name="删除" >
<!--
url说明:
地址分两部分:
第一部分是url地址必选项/test/testopurlpermissiondelete.jsp
第二部分是json格式的参数,其中资源操作参数resource,必选项参数,resource参数值对应一个request请求参数名称,
对应的request参数值匹配一个资源标识,匹配url的资源操作权限资源标识必须和其保持一致,
参数required标识resource是否必须false表示如果url /test/testopurlpermissiondelete.jsp可以带资源码参数,也可以不带,
如果带了则按照resource匹配规则来控制url访问权限,true标识必须带资源码,如果没带直接阻止url访问。
-->
<authoration>
<url><![CDATA[/test/testopurlpermissiondelete.jsp{"resource":"orgCode"|"required":true}]]></url>
</authoration>
</operation>
</group>
<!-- 资源类型定义
system指定了资源关联的子系统标识,只有与资源类型关联后,在相应的子系统的权限管理中才会出现对应的资源类型,才能对资源类型中的资源对应的操作进行授权(可以对用户、机构、和角色进行授权)
-->
<resource id="testresource" name="测试资源" auto="false" system="cms,module">
<!--关联资源操作组-->
<operationgroup groupid="globaltestgroup"/>
<!-- 定义一个全局资源,并声明其关联的操作组 -->
<globaloperationgroup globalresourceid="globaltest" groupid="globaltestgroup"/>
</resource>
</resources>
resource-test.xml文件写好后需要配置到/resources/config-manager.xml文件中,以便平台启动时加载resource-test.xml定义的资源类型和资源操作信息。可以在resource-test.xml文件中配置多个资源类型。/resources/config-manager.xml装载资源文件实例如下:
<resources module="console" languages="zh_CN,en_US"> <resourcefile src="resource.xml" desc="公用权限授予资源配置文件"/> <resourcefile src="resources-sys.xml" desc="系统管理资源配置文件"/> <resourcefile src="resources-content.xml" desc="内容管理资源配置文件"/> <resourcefile src="resources-test.xml" desc="测试资源配置"/> </resources>
2.资源授权界面
3.权限控制
接下来介绍在程序中如何进行权限控制。
java代码中的权限检测
com.frameworkset.platform.security.AccessControl accesscontroler = com.frameworkset.platform.security.AccessControl.getAccessControl(); //获取平台当前用户会话对象
boolean hasdeletepermission = accesscontroler.checkPermission("globaltest",//资源id
"delete",//资源操作
"testresource"//资源类型
);//返回boolean值,true标识有权限,false标识没有权限
在jsp中结合true/false标签来控制界面元素是否显示或者按钮是否带处理事件:
<%
com.frameworkset.platform.security.AccessControl accesscontroler = com.frameworkset.platform.security.AccessControl.getAccessControl(); //获取平台当前用户会话对象
boolean hasdeletepermission = accesscontroler.checkPermission("globaltest",//资源id
"delete",//资源操作
"testresource"//资源类型
);//返回boolean值,true标识有权限,false标识没有权限
%>
<pg:true actual="<%=hasdeletepermission %>">
<a href="#" onclick="delteUse();">删除用户</a>
</pg:true>
<pg:false actual="<%=hasdeletepermission %>">
没有删除用户的权限
</pg:false>
