摘要： 问题使用Struts框架时，权限通常控制在Action级（比如将权限验证放在Action的基类中，这样新的Action都继承于这个Action基类，所有Action就可以专注于业务逻辑，而不需要重复地进行权限控制了），这也符合MVC中的角色划分。然而，这会产生一个安全隐患。因为权限控制在Action中，所以，页面也就没有安全屏障了。一般的新增数据、更新数据不会有什么问题，因为这些数据必须通过HTML的Form提交到Struts的中心控制器，最终由相应的Action来处理，所以Action中就可以验证该用户的权限了。然而，对于一些不需要Action进行数据存取，或者有的页面没有严格按照MVC的角 阅读全文