我将系统权限理解成数据权限和操作权限。
数据权限一般在sql语句中处理,比如要查询一些数
据,每个人只能看自己提交的数据,sql可以这么写select * from tablea where creator = :username。
但是,如果要某一个人,比如管理员,希望他能查询到所有人的数据
呢?
这时,需要辅以操作权限来处理。
我创建了users、roles、op三张表,表users和表roles关联,表roles和表op关
联。
表op是权限明细表,有roleid、opcode、opdesc、hasop四个字
段,例如有这样几行数据,
1 1001 浏览全部数据 true
2 1001 浏览全部数据 false
假设角色admin的id是1,角色guest的id
是2。
当用户登录时,通过用户
找到用户所有角色,在表op中查出这些角色的所有权限(hasop等于true的),将这些权限放入到一个数组,并保存在session内。
创建一个方法boolean hasOp(String opcode),输入一个opcode,然后在权限数组中查找是否存在,如果没有找到就返回false,如果找到就返回true。
现在,让拥有权限1001的用户能够看到所有
数据,而其他人只能看自己创建的数据。
在代码中这样处理
if(hasOp("1001"))
sql = "select * from tablea";
else
sql = "select * from tablea where creator = :username";
这样数据权限基本就这样处理了,处理的过程集中在sql语句中,避免将不需要的数据查询出
来。
操作权限,总是用
hasOp(opcode)来判断,比如新增、修改、删除等,当然在修改或删除的sql语句中也可用hasOp(opcode)来做判断。
我用的Richfaces和JavaBean
开发的B/S结构的应用程序。创建一个包含hasOp方法的类Login,将它的javabean属性设置成session。
在
前台xhtml页面中,如果要判断某一操作时,用rendered="#{Login.hasOp('1001')}"。
这是我目前的解决方案,请大家赐教!