日期:2014-05-20  浏览次数:20729 次

禁止通过地址栏直接访问后台
当用户登录系统后,如何禁止通过地址栏直接访问后台.如XXX.do或XXX.action

------解决方案--------------------


很多人都没完全搞懂楼主的问题,悲哀。

楼主的意思其实是 他将连接地址屏蔽了,但用户还是可以通过在地址栏输入连接来进行访问,这和把试图页面放在web-inf下没啥关系,关键是action他可以直接输入访问

解决方案:

1. 页面上,后台屏蔽地址栏显示,这个很好办,一般的系统都会这样做。
2. 说到底这个是权限设计的问题,你拦截资源的url就行了。 要么自己写个小权限控制,或者已经有的spring security安全框架来做。

关键是你的权限。

一般权限设计,在表现层上 都是将不属于自己的权限的连接屏蔽掉不显示,在逻辑层面上,设计过滤器或者拦截器来对资源URL进行拦截,这些很多成熟的安全框架都已经有了。