Rain's Blog

Web的安全管理，一般有两种：容器管理和应用程序管理。单独借助容器来实现，虽然可以满足应用需要，但是移植性不好。所以大部分系统往往是采用应用程序管理，这样扩展和管理都非常灵活。但是实际应用中，大都是采用两者结合的方式。应用程序管理的实现方式也有很多种，很多框架都有一些自己的实现，本文不依赖于框架，采用基于角色的权限控制方式来实现。 在基于角色的权限模型中，主要有用户、角色、资源、权限、操作等几个概念。一个用户可以有多个角色，一个角色对应多个权限，而权限则是一系列资源的操作的集合。 本文的案例采用struts+spring+hibernate的组合方式，spring在AOP以及IoC方面非常强大，同时对Hibernate支持非常好，数据库访问层采用经典的DAO模式。在与struts集成时，采用代理的方式，使struts不依赖于spring。 系统所用组件： struts 1.2.9 springframework 1.2.8 hibernate 3.1.2 ehcache 1.1 jstl 1.1.2 struts-menu 2.4.2 displaytag 1.1 log4j 1.2.13 common-lang 2.1 commons-beanutils 1.7.0 commons-collections 3.1 commons-fileupload 1.0 commons-logging 1.0.4 commons-validator 1.1.3 数据库： mysql 4.0.24 hsqldb 1.8.0.7 其他测试构建工具： maven 2.0.4 ant 1.7.0 junit 3.8.1 dbunit 2.1 Feature： 1) 用户管理 2) 组管理 3) 角色管理 4) 权限控制 Roadmap: 1) 使用common-validator来进行页面检验 2) 使用tiles框架 3) 页面CSS Download： rainboyan-security-0.1