B/S系统权限控制的一种简单方法

　　  此方法不依靠容器 框架，适用于小系统(主要jsp页面要少于100,因为是硬编码到JSP)，适用于要精确控制页面field的情况较多的系统。

　　  (插句话：要分清权限控制与业务逻辑，业务逻辑就是情况由系统运行时的某些条件决定，如学生治理系统中，某一学生进入系统，只能看自己的记录，因为可看的记录是由学号来决定的，所以这是业务逻辑，而又如学生不能看老师的记录，这是有学生的身份来决定的，所以这是权限控制。)

　　  好了，进入正题！
　　  建表：
　　
　　
　　

　　  user(user信息： userID userPassWord 等)
　　  role(role描述：roleID roleDesc)
　　  permission(permission描述：permissionID permissionDesc)
　　  user-role(user role对应关系表：userID roleID)
　　  role-permission(role permission对应关系表：roleID permissionID)
　　  user-permission(user permission对应关系表：userID permissionID)

　　  1 此处role没有继续关系,只是permission的集合

　　  2 user-permission表只是为了方便，其数据是根据user-role role-permission两表得来，只有在user-role role-permission两表有更新的时候更新此表，并不能单独赋予user某个permission,只能赋予user一个或多个role。

　　  3 permission的分配，这是一个难点，很多比较复杂的权限控制系统也是因为这个才发展出来，此处把它尽量想简单，不考虑业务逻辑，以页面为视角，分两层，首先是需要控制的jsp页面，然后是需要控制的页面field(包括link,text,textbox,button等等)，field这一层还有privilege之分(R和W，即可读和可写)

　　  基本思路：进入JSP页面时，检查用户信息，查到用户有此permission就包含此代码，假如没有此permission就不包含此代码，此功能由Tag来完成(不会写Tag？不要紧，抄！)。看代码吧！

　　    1 建表(如上)
　　    2 建两个class(bean) (UserProfile是用户基本信息   UserPermission是permission )
　　
　　
　　

　　    UserProfile.Java:
　　package com.××.××.××;
　　import java.util.Collection;

　　public class UserProfile {
　　  private String userId;
　　  private String userType;
　　  private String companyNo;
　　  private String companyName;
　　  private String companyType;
　　  private Collection userPermissions;

　　  public String getUserId() {
　　    return userId;
　　  }
　　  public void setUserId(String userId) {
　　    this.userId = userId;
　　  }
　　  public String getUserType() {
　　    return userType;
　　  }
　　  public void setUserType(String userType) {
　　    this.userType = userType;
　　  }
　　  public String getCompanyNo() {
　　    return companyNo;
　　  }
　　  public void setCompanyNo(String companyNo) {
　　    this.companyNo = companyNo;