判断一个操作是不是允许
一、目的
简单探索一个URL请求是不是允许的。
二、具体过程
(一)系统的初始化
系统数据库有账户"admin",密码是"123"。
账号"admin"的角色是管理员"manager"。
假设管理员身份设定的权限是:
1、对于/user/开头的所有URL操作都是允许的。
2、用规则描述如下:
/user/**=manager
权限描述规则:
URL的表达式=需要的角色名
(二)判断登录
1、默认"/tologin"和"/login.html"请求路径是匿名的,所有人都可以访问。
2、假设用户访问其他路径,例如"/user/home?id=22"。
3、系统会判断当前连接对应的会话域里有没有登录的标志。
例如:
如果req.getSession().getAttribute("user")是为null值,那么没有登陆,不允许访问,跳转到"/login.html"页面。
如果不是null值,需要判断有没有权限。
(三)判断权限
假设已经登录成功。
1、用户访问"/user/home?id=22"请求。
2、系统判断是登录成功。
3、系统遍历所有的权限规则,发现请求路径"/user/home"符合规则"/user/**",再查询对应的角色,发现需要"manager"角色身份。
4、系统从会话中获取当前登录的用户名"admin",去数据库里找该用户对应什么角色。
5、如果发现admin用户的角色为空,或者不是"manager",返回拒绝访问,结束本次请求。
6、如果查询账号admin的角色是manager,就调用对应的方法执行对应的请求。
最后:如果发现没有找到任何一个匹配的规则,直接返回404找不到资源的响应。