WebX框架的页面授权

什么是页面授权,简单来说就是对于一个Web应用程序里,哪些页面可以被哪些人在什么情况下访问进行限制。举个简单的例子,有些页面只有用户登录以后才能访问,而另外一些页面无论是否用户登录都能访问。那在这种情况下就需要对页面进行授权管理。

最简单的对页面进行授权管理的方式,就是在每个页面的访问逻辑前都加一段代码去判断是否登录了。如果没有登录就跳转到登录页面,如果登录了就放过。但是这样的检查每个页面都要写一遍太麻烦,即便是携程一个函数或者逻辑,每个地方拷贝一下也是令人崩溃的事情。

当然幸好Java提供了Servlet Filter,使用这个东西会更方便一点。

对于WebX来说,里面对于页面授权的管理提供了一定的支持。尽管不是非常好,但也在一定程度上减少了实现页面授权的实现复杂度。

WebX的页面授权是假定用户实现的Web App使用了多用户以及角色来管理页面的权限。具体的就是有多个用户,每个用户拥有多种角色。可以根据用户来管理页面授权,也可以根据用户对应的角色来管理页面授权。

要使用WebX的页面授权机制,简单的分为如下两个步骤:

1.实现在一个处理回调类,处理对于页面访问授权(WebX会回调对应的方法)。
2.在项目对应的模块的webx-XX.xml中添加,对应的规则。

我们首先来说明一下怎么去实现这个回调类。该类必须满足如下两个条件:
1.继承自 com.alibaba.citrus.springext.support.BeanSupport 类。
2.且必须同时实现com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback接口。
3.必须自定义一个数据类,作为泛型参数。该参数由该类自己构造,并在构造完成以后,交给WebX(构造改参数的对象可以在任何地方,但是返回该对象给WebX是在onStart方法),在WebX回调该类的方法的时候,用作参数。其作用在于记录用户的回调类需要的一些状态信息。

下面以一个具体的例子来看一下,实现。

public class PageAccessCheck extends BeanSupport implements Callback<PageAccessCheck.Status> {
private static final Logger log = LoggerFactory.getLogger(PageAccessCheck.class);
private String userName;
/* (non-Javadoc)
* @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#getUserName(java.lang.Object)
*/
@Override
public String getUserName(Status status) {
return userName;
} /* (non-Javadoc)
* @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#getRoleNames(java.lang.Object)
*/
@Override
public String[] getRoleNames(Status status) {
if (userName != null) {
return new String[] { "admin"};
}
return null;
} /* (non-Javadoc)
* @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#getActions(java.lang.Object)
*/
@Override
public String[] getActions(Status status) {
// TODO Auto-generated method stub
return null;
} /* (non-Javadoc)
* @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#onStart(com.alibaba.citrus.turbine.TurbineRunData)
*/
@Override
public Status onStart(TurbineRunData rundata) throws Exception {
HttpSession session = rundata.getRequest().getSession();
userName = (String) session.getAttribute("userName");
return new Status(rundata);
} /* (non-Javadoc)
* @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#onAllow(java.lang.Object)
*/
@Override
public void onAllow(Status status) throws Exception {
// TODO Auto-generated method stub
log.debug("Acess allowed!");
} /* (non-Javadoc)
* @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#onDeny(java.lang.Object)
*/
@Override
public void onDeny(Status status) throws Exception {
// TODO Auto-generated method stub
log.error("Acess Denied!");
} static class Status {
private final TurbineRunData rundata; public Status(TurbineRunData rundata) {
this.rundata = rundata;
}
} }

这是我的一个简单的实现,类的名称可以按照自己的需要来命名。在访问的页面被拒绝的时候,打印错误日志信息。在通过授权验证的时候,同样打印日志信息。

WebX再每次执行页面授权验证的时候,会先构造一个这个PageAccessCheck对象,并调用对象的onStart方法。onStart方法的返回值被WebX持有,作为回调onAllow和onDeny及其他几个方法的参数。

在这个简单的实现里,AccessCheck.Status仅仅是作为了TurbineRunData的一个wrapper对象。如果你有任何需要的其他信息,也可以放入AccessCheck.Status类。

假设你需要在页面被拒绝访问的时候,不但要记录日志,还要跳转到某个特定的页面上,那就在onDeny里面添加自己的逻辑。

除了onAllow跟onDeny方法意外,还有几个方法,需要关注一下:
1. getUserName,该方法由WebX调用,获得当前登录的用户名。如果没有用户登录,可以返回null。那么WebX就会认为该用户是匿名用户。
2. getRoleNames,该方法由WebX调用,获得当前登录的用户的角色。

WebX调用上述两个方法,获取当前用户的名称及角色,然后根据对应模块下的访问规则,来决定对应的页面到底是否可以访问,如果可以访问,就回调onAllow方法,否则回调onDeny方法。

上面的回调类实现以后,怎么配置让WebX项目使用呢?
1.在项目对应的模块的pipeline.xml中增加一个对应的valve。大多数情况下,这些模块都是公用WEB-INF/common/pipeline.xml文件。如果该模块使用自己的pipeline.xml定义。就增加到自己的pipeline.xml中。

具体增加的语句就是:
    <pl-valves:pageAuthorization callbackClass="PageAccessCheck" />
注意:该条语句一般位于<pl-valves:checkCsrfToken />之后,<pl-valves:loop>语句之前。

2.在页面对应模块的配置文件(比如模块叫XX,那么对应的文件为webx-XX.xml)中增加如下配置(确保在标签<beans:beans>与</beans:beans>之间):

    <services:page-authorization default="deny">
<match target="/input">
<grant user="anonymous">
<deny>*</deny>
</grant>
</match>
<match target="/input">
<grant role="admin">
<allow>*</allow>
</grant>
</match>
<match target="/login">
<grant user="anonymous">
<allow>*</allow>
</grant>
</match>
<match target="/">
<grant user="anonymous, *">
<allow>*</allow>
</grant>
</match>
</services:page-authorization>

这里的配置,是我的应用的,请根据自己的实际需要调整规则。每条规则对应一条match标签及内容。
    这里先以我的上述规则作为例子,来解释一下规则的语法。

每条规则都以match标签来代表,match标签的target属性是用来匹配具体的访问路径的,这个路径是从Web App的context path之后开始的。
    规则的具体使用,描述起来比较麻烦。就以上述三条规则来说明一下,理解了以后,应该可以灵活使用满足自己的需求了。

先看一下<services:page-authorization default="deny">这句话,这句话的意思是,本模块里面的页面默认全都是不允许访问的。除非是有具体的规则允许,这是最严格,也是最安全的配置。

来看第一条规则,该规则,说的是,对于/input这个页面(URL),对于anonymous用户是拒绝的。还记得我们前面提及的getUserName方法吗?当该方法返回null值的时候,WebX就使用的是 anonymous用户。实际该条规则是冗余的,不需要的。为什么呢?因为我们的默认规则是deny,所以所有deny的规则都是多余的,和不必要的。

来看第二条规则,该规则是说对于/input,对于所有角色为admin的用户,都是允许的。

第三条规则时说,对于/login,对于匿名用户是允许的。为什么呢?如果匿名用户不允许访问login,那么匿名用户就永远没有机会变成非匿名用户了. :)
    第四条规则,是说对于该应用下的所有页面,对于匿名用户和其他用户,都是允许的。这似乎是跟default="deny"是矛盾的?确实是矛盾的,写在这里仅仅是为了演示规则的写法。

那么你可能有个疑问,就是如果两条规则矛盾的时候,会发生什么?WebX来说,如果某个页面(URL)同时满足多条规则,那么deny的规则优先执行。

 

WebX框架的页面授权的更多相关文章

  1. 深入webx框架(li)

    目录 1.Webx简介 2.创建webx应用   一.Webx简介 Webx本质上就是一个Web框架,它建立在Java Servlet API基础之上.上图所示是webx的架构图.webx本身类似于s ...

  2. 我的WebX框架学习总结与心得分享

    最近学习了webx框架, 利用博客园跟大家分享一下自己的学习心得; 周建旭 2014-08-21 网上关于webx的资料少的可怜, 怎么办?  这种情况下不用去求助别人求人只会耽误时间, 不用畏惧; ...

  3. Webx框架自带的petstore

    Webx框架:http://openwebx.org/ petstore:webx3/webx-sample/petstore/tags/3.0/petstore 编译之后:mvn jetty:run ...

  4. WebX框架学习笔记之一

    Webx是什么? Webx是一套基于Java Servlet API的通用Web框架.它在Alibaba集团内部被广泛使用.从2010年底,向社会开放源码. Webx的发展历史 2001年,阿里巴巴内 ...

  5. Webx框架:Spring Schema 和 Spring Ext

    webx诞生的原因是当时市面上没有好用的web框架.如今的Web框架有非常多.然后它们背后的思想都是相似的,并且越来越趋同. Spring Schema 在传统的spring中,配置bean时须要手动 ...

  6. 移动端--用PX为单位+JS框架 实现页面布局

    一:大家先下载metahandler.js 二:准备一个用px实现的移动页面(宽度固定死的页面),引入metahandler.js框架 1.视口设置 width=640,是根据psd图来设置,有多宽设 ...

  7. java 获取微信 页面授权 获取用户openid

    先调用微信的地址 跳转https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx4b4009c4fce00e0c&redirect ...

  8. js实现frame框架部分页面的刷新

    一.先来看一个简单的例子: 下面以三个页面分别命名为frame.html.top.html.bottom.html为例来具体说明如何做. frame.html 由上(top.html)下(bottom ...

  9. ssh框架从页面传中文发生乱码时怎么解决,就是添加一个字符编码拦截器。用springframework自带的便可

    ssh框架从页面传中文发生乱码时怎么解决,就是添加一个字符编码拦截器.用springframework自带的便可

随机推荐

  1. leetCode题解之Array Partition I

    1.题目描述 2.分析 按照题目要求,主要就是对数组进行排序 3.代码 int arrayPairSum(vector<int>& nums) { ; sort( nums.beg ...

  2. 最常见到的runtime exception 异常

    ArithmeticException, 算术异常ArrayStoreException, 将数组类型不兼容的值赋值给数组元素时抛出的异常BufferOverflowException, 缓冲区溢出异 ...

  3. Kubernetes简述

    一.Kubernetes特性 1.自动装箱 建构于容器之上,基于资源依赖及其他约束自动完成容器部署且不影响其可用性,并通过调度机制混合关键型应用和非关键型应用的工作负载于一点以提高资源利用率. 2.自 ...

  4. MVC 实现自定义404错误页

    直接进入正题. 在HomeController中有一个NotFound的Action方法. public ActionResult NotFound() { return View(); } 对应的视 ...

  5. MySQL的前缀索引及Oracle的类似实现

    MySQL有一个很有意思的索引类型,叫做前缀索引,它可以给某个文本字段的前面部分单独做索引,从而降低索引的大小. 其实,Oracle也有类似的实现,对于文本,它可以通过substr的函数索引,实现同样 ...

  6. AFNetworking2.0简易GET,POST请求封装以及使用

    AFNetworking2.0简易GET,POST请求封装以及使用 AFNetworking不用我赘述其强大性,本人仅仅做了非常简易的封装,解决了有时候请求出错的问题,提供源码给大家. 封装源码库下载 ...

  7. 审计系统---堡垒机python下ssh的使用

    堡垒机python下ssh的使用 [堡垒机更多参考]http://www.cnblogs.com/alex3714/articles/5286889.html [paramiko的Demo实例]htt ...

  8. php命名空间的设计思想和缺点

    相比C#等语言,你可以在PHP函数里面随意定义变量并赋值,而不用担心覆盖了全局变量,或者类变量:你也可以随意的定义类变量,而不用担心会和函数名冲突,因为变量前面都有个$. php的命名空间和全局变量. ...

  9. September 28th 2017 Week 39th Thursday

    Every saint has a past and every sinner has a future. 圣人皆有过去,罪人皆有未来. If you were a sinner in the pas ...

  10. September 25th 2017 Week 39th Monday

    No man is rich enough to buy back his own past. 没有人富有到可以赎回自己的过去. Those rich are not willing to buy b ...