权限设计是基于RBAC的,有个资源表,资源表里面保存的菜单及URL等信息。
用户登录后,该用户所有的菜单及URL都可以获取得到,并且放到Map里面的。当用户没有权限时,通过URL访问该
菜单的地址时,在过滤器里面可以通过Map里面的资源判断用户是否有权限访问。这可以做得到
点击菜单跳转页面里面的CRUD按钮也可以控制。 但是菜单里面的URL怎么控制到 ?
比如:知道了页面里面的delete操作的 URL , 直接通过URL访问, 就值得删除了。
用spring security 做的。。求救
jsp页面使用标签校验
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>
<sec:authorize url="/manager/xxx/xxx">
<a href="manager/xxx/xxx">删除</a>
</sec:authorize>
没有某个链接的访问权限,按钮或者链接就不要在前端显示就好了
在Service层提供了相关的权限控制,以此限制用户是否有权限进行这个操作
@PreAuthorize("hasPermission(#contact, admin)")
filter是否可以?