用Action实现对权限的控制

  权限系统是多数应用系统必不可以少的子系统。曾经为权限模型所困惑。今天突然想到用不同的Action代表不同的权限是实现权限控制是一个很好的做法。
     我们知道，所为的权限控制，就是一个“权限主体对于权限客体做了什么操作”的问题。其中主体代表了权限系统的用户，组，或者角色；而客体代表了权限系统中需要被保护的资源。显然，客体（资源）＋操作的组合就代表了权限。
      使用MVC框架或者模式的时候，我们往往会有一个类，代表用户的某一个操作。没有框架的时候，可以是一个Servlet，有框架的时候，比如struts，webwork，就是一个Action。我们往往会每个用户动作都会写一个Action。而这个Action往往是诸如：ListUserAction,RemoveUserAction,CreateMessageAction,ModifyUserStatusAction等等，这里的每一个Action都是一个用户的操作，而不经意之间，这些个Action类就代表了一个资源和权限的组合，也就成为了一个权限。同时，我们知道，在MVC框架中，请求一个Action类，要求把这个Action的mapping的名称传递值FrontController Servlet，以便于让Servlet知道请求的是哪一个Action，我们也可以方便的在ServletFilter或者Interceptor中获得所请求的Action别名。这一切都好办了，我们何不直接将Action别名作为用户的权限进行用户权限设置，在每次请求的时候，得到请求的Action别名到权限Map中比对？笔者eway已经在一个小项目中采用了这个办法，效果还好。不妨试试，说不定收到意象不到的好处。有空不妨看看 struts2.0 的帮助