RBAC(Role-Based Access Control )基于角色的访问控制。
RBAC模型家族其中,包括了RBAC0-RBAC3四个概念
RBAC0 定义了能构成一个RBAC控制系统的最小的元素集合。
RBAC1 引入了角色间的继承关系
RBAC2 该模型中添加了责任分离关系
RBAC3 包含了RBAC1和RBAC2 即引入了角色间的继承关系
又添加了责任分离关系
如何防止直接访问jsp页面?
获取uri判断如果是登陆资源,放行,如果不是判断用户是否已经登录如果登录且session没有失效
获取session中的user如果不为null放行,如果没有登录过,或者失效,则请求转发到登录页面,并
添加提示信息,在前端jsp页面接受
如何防止用户越级访问?
通过滤器
防止越级访问,即普通用户访问高端资源
首先对静态资源和登录资源放行
登录后获取session里面的值,然后获取session里面的user,根据user
获取funs集合,然后比遍历 在外部定义一个flag 为false,遍历的时
调用rui.indexOf(f.getFunurl()) 不等于-1将flag的值赋值为true
Break;跳出本次循环
最后在for外判断flag 如果为true 放行
如果为false 重定向到无权访问页面
