У меня есть фильтр, который распространяет учетные данные пользователя по стеку, используя ThreadLocal.Я хочу повторно использовать тот же фильтр для целей авторизации.
Допустим, что веб-приложение (ajax) имеет около 100 JSP, а часть приложения разработана с использованием простых JSP, а оставшаяся часть - с использованием Spring MVC 3 (с контроллерами и JSP).Если приходит запрос на ресурс .JSP или Spring MVC Controlled, мои первые мысли были
- , чтобы поместить список JSP (и ресурсов Spring MVC), которые действительно нуждаются в авторизации, а затем
- чтобы проверить, имеет ли роль пользователя необходимые права доступа к этому ресурсу (или JSP).
Если у приложения было 100 таких ресурсов для проверки, не имеет смыслапоместите все имена JSP в Фильтр (это также будет кошмар обслуживания).Если бы я переместил список всех JSP в файл свойств и соответствующий список всех привилегий, требуемых для этого ресурса (JSP), то я мог бы перебрать JSP и проверить, имеет ли пользователь одну из требуемых привилегий.
имеет ли план смысл?Как люди внедрили авторизацию JSP / ресурсов на сервере?