日期:2014-05-17  浏览次数:20602 次

Struts2关于如何权限验证的问题
我刚开始使用struts2,但是struts2的权限验证拦截器,好像只作用于aciton上,如果知道具体的JSP的URL还是可以直接点击进入,这样的话不是会存在安全隐患吗?那么这个struts2的权限验证该怎么设计?难道只有从filter实现吗??struts2本身有提供好的方法吗?

------解决方案--------------------
你可以把jsp的url隐藏起来啊,例如放到web-inf下面,不就无法直接访问jsp了吗。一般来说jsp只负责显示,不实现任何业务逻辑的话,你就算知道jsp的url也起不到什么作用啊。
------解决方案--------------------
如果想要权限控制,最好使用apache shiro和spring security框架,可以很好的解决各种权限访问控制问题

struts权限过滤器和拦截器用法可以参考
http://www.cnblogs.com/friday295/archive/2012/08/02/2619983.html
看看能不能对你有帮助
------解决方案--------------------
引用:
你可以把jsp的url隐藏起来啊,例如放到web-inf下面,不就无法直接访问jsp了吗。一般来说jsp只负责显示,不实现任何业务逻辑的话,你就算知道jsp的url也起不到什么作用啊。


放到下面是可以的,
还有就是用filter了,

现在我用的spring MVC 代替Struts做的,感觉还可以