J2EE系统的简单权限管理

目前，系统已经开发接近尾声，主要的功能已经开发完成。用户提出增加权限管理功能。本身来讲系统的权限相对简单，只需要区分出某一页面对某个登录人员是什么权限即可（只读，编辑/保存/删除数据两种权限）。增加一个较全面的权限管理模块有些杀鸡用牛刀的感觉。所以，我们决定开发一个简单的权限管理，只需满足系统需要即可。思路是当用户访问某一个具体功能页面时调用嵌入jsp的java代码，判断该用户是否拥有修改编辑页面的权限，如果没有此权限则调用js方法设置页面为只读。
这样的好处是开发快捷方便，前后也就2个小时；不需要修改中间层Form的java代码；只需在jsp中引入很少的代码（全下来不超过50行）。过程及代码如下：

        1.数据库表
           增加一个Page表，保存每个功能页面的url，这样可以在用户登录进行权限判断时判断是哪一个页面。
              Page的部分表结构：id，page_id, url, module_name, page_name
           增加一个权限表，用来保存不同userid所拥有的不同page的权限。
              Authority部分表结构：id，operator_id, page_id

        2.每个jsp功能页面
           在每个jsp页面，引入authority.jsp页面。并在页面初始化js方法中调用setPageAuthority方法。该方法放在authority.jsp；
[javascript]
<%@ include file="/include/authority.jsp" %>
function pageInit() {
   ...
   //判断权限是否是只读
   setPageAuthority();
           ...
}
        3.authority.jsp
            在此jsp页面中需要嵌入java代码，判断当前用户的userid并根据当前页面的url去数据库中查找相应的权限。如果有此页面的编辑保存删除数据的权限，则不调用setReadOnly.js方法，这段js代码可以将整个页面设置为只读（增加div层，设值为透明）。如果没有此页面的权限，调用js方法，设置页面只读。
[javascript]
<%
int operatorId = UserContext.getCurrentUser().getId();
String url = request.getRequestURI();
boolean hasRight = hasPageRights(operatorId,url);

if(!hasRight){
%>
<script>
    //若没有页面编辑权限，设置页面为只读模式
    function setPageAuthority() {
        var readOnlyDiv = document.createElement("div");
        readOnlyDiv.style.width = document.body.clientWidth;    //设置层的宽度
        readOnlyDiv.style.height = document.body.scrollHeight; //设置层的高度
        readOnlyDiv.style.filter = "alpha(opacity=1)";          //设置层为透明
        readOnlyDiv.style.backgroundColor = "white";

        readOnlyDiv.style.position = "absolute";                //设置层的位置
        readOnlyDiv.style.left = "0";
        readOnlyDiv.style.top = "0";
        readOnlyDiv.style.zIndex = "1000";
        document.body.appendChild(readOnlyDiv);
    }
</script>
<%
    } else{
    //具有页面编辑权限，方法为空，不设置div层
%>
<script>
    function setPageAuthority() {}
</script>
<%
    }

补充：web前端 , JavaScript ,