如何进行用户权限的菜单设计
写了这样一个权限管理:
1.用户登陆,根据用户提交信息从数据库中提取用户类型(admin,manager,operator),然后放到session里(在userController里写实现的方法);
2.用IF ESLE实现在菜单页根据获取的不同的用户类型显示不同的页面链接菜单(1."房间预定管理";2."顾客信息管理";3."房间信息管理";4."系统用户信息管理"),可以点击进入操作页面,进行相关的增加删除修改等操作.
比如:(1)admin,则显示1,2,3,4四个链接菜单;
(2)manager,则显示1,2,3三个链接菜单;
(3)operator,则仅显示1,2两个链接菜单;
这样似乎实现了所谓的权限管理,其实不然,因为即使你的身份不是管理员,而且没有链接菜单允许你访问系统用户页面,你也完全可以手动通过在地址栏里输入URL访问,这样也就谈不上什么权限管理了.

不知道大家有什么好的方法可以做到,既可以根据不同用户类型显示不同的链接菜单,又可以拦截非法的越权URL的访问?:)

我前面有提到一个业务代码的问题，如果你有这个，基本上就非常容易解决权限问题。而且，这个没有那些论文讨论的复杂。
因为它和你说明问题的时候用的方式一样，很自然。
你的问题中已经给出了权限管理的最好的解决方法

你看见自己写的1,2,3,4了吗，就在那里

我前面有提到一个业务代码的问题，如果你有这个，基本上就非常容易解决权限问题。而且，这个没有那些论文讨论的复杂。
因为它和你说明问题的时候用的方式一样，很自然。
你的问题中已经给出了权限管理的最好的解决方法

你看见自己写的1,2,3,4了吗，就在那里

今天会争取用这样的方法来解决,AOP的方法也不会放弃,希望今天最起码能用其中一种解决,然后安安心心回家过年去 20 楼 surroad 2007-02-05 有没朋友试过用interceptor解决session代码判断大量重复的？ 21 楼 hellen_love 2007-04-05 基于角色的权限控制,这篇文章在哪? 22 楼 lzmhehe 2007-04-05 111111 写道我们是自己写的一个标签库,在jsp页面根据用户权限显示不同的内容!


这种方法能防止 url注入么 ？ 23 楼 roc8633284 2007-04-05 surroad 写道有没朋友试过用interceptor解决session代码判断大量重复的？
通过实现interceptor过滤每个url，来判断用户登录后存在session的信息是否符合权限的需要，是个可行的办法。但是这种实现需要在interceptor实现类里实现大量的判断代码，有点不够智能。较好的办法还是要维护一个权限—角色对应表，再在interceptor实现类判断对应关系决定指向。 24 楼 hbcui1984 2007-04-06 刑天战士 写道MM可以阅读一下《基于角色的权限控制》那篇文章，县有一个ROLE表，表示系统中的角色；还应该有一个Resource表，里面有各种各样的资源，对于MM来说是URL；然后由一个PERMISSION表，里面对应每个每个角色可以访问的资源；然后菜单就可以通过查询取出来……

我们的系统一般也是这么做的，单独做出一个权限管理模块出来，感觉还是挺方便的 25 楼 alloon 2007-04-10 如果你用的是SERVLET+JSP的话,可以做个公用的MAINSERVLET然后所有的SERVLET都继承它,在它里面限制,如果你使用的是STRUTS的话,你可以在STRUTS-CONFIG.XML里加 入RequestProcess接口的扩展类拦截,要么,还基本是页面的显示,如果牵扯到逻辑方面的,你在做系统的时候可以考虑用户登陆后的管理权限都是通过它的权限接口实现功能,如ADMIN做个接口,manager一个接口,然后他们各自实现各自的方法业务,然后所有进行了登陆后才能让SPRING注入他们的对象进行业务操作,还有种方式是使用JOBSS公司的的一个DROOLS工具实现规则引擎实现,看你怎么实现更方便了!