假设,现在有个 保险公司的在线投单系统
里面有两个角色:系统管理员、投单员。
这两个角色都拥有:查询保单信息的权限(而这个权限可能就是一个显示查询结果的JSP页面)。
现在的问题是:
当拥有“系统管理员”角色的用户登录系统后,他可以查看所有系统用户的投单信息。当拥有“投单员”角色的用
户登录系统后,他就只能查看他自己的投单信息,其他用户投的单他是无权查看的。
当出现这种需求的时候,大家有什么好的解决方案,希望拿出来和我分享分享。
前段时间学习了一下Acegi, 它可以通过对URL、业务方法、领域对象实施安全访问控制。而我觉得当我要实现文章中所描述的权限控制时,难免会出现硬编码或重复的查询功能却根据不通的角色实现多次或结构大体相似的JSP页面也会因角色的不同而重复出现。