DWR安全性問題(Access Control)-qbq-ChinaUnix博客

IT民工窝棚qbq.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

qbq

博客访问： 29958754
博文数量： 708
博客积分： 12163
博客等级：上将
技术积分： 8240
用户组：普通用户
注册时间： 2007-12-04 20:59

文章分类

全部博文（708）

Highcharts（1）
Android（3）
多浏览器（2）
游记（1）
装修（1）
手机（2）
电影（1）
英语（2）
音乐（2）

国产（1）

欧美（1）
图片（1）
日本（6）
知识宝库（41）
文学收藏（6）
马尔代夫（2）
体育（6）
原创空间（1）
技术收藏（597）

SEO（1）

CSS3（5）

TestNG（4）

HTML5（2）

iBatis（3）

URLRewrite（1）

WebService（1）

WebServer（12）

PHP（8）

OGNL（1）

AS2（2）

Multimedia（0）

Flex AS3（29）

面试（9）

Commet（1）

Ivy（2）

Bat（8）

Maven（18）

CSS（7）

Ext（9）

Spring问题集（4）

Word（1）

JFreeChart（2）

Groovy on Grails（14）

Python（1）

Portlet（3）

amCharts（4）

CSharp.NET（3）

Tools（1）

S2Dao（8）

HSQL（9）

taglib（28）

Source Safe（3）

JSTL（6）

EL（2）

Seasar-SAStruts（3）

Prototype（0）

JQuery（3）

DWR（7）

AJAX（14）

Guice（13）

Digit（2）

Notebook（4）

Log4J（8）

Servlet（2）

JSP（4）

Eclipse（12）

VB.NET（3）

DotNet（3）

JavaScript（63）

Thinking In Soft（10）

Framework（11）

English（0）

Struts2（14）

Struts（38）

Hibernate（10）

Spring（30）

HTML（14）

Web（5）

MYSQL（9）

SQLSERVER（1）

ORACLE（2）

SQL（3）

数据库（0）

DATABASE（0）

Windows（8）

JAVA（67）

Software（1）

Hardware（3）

OpenSource（2）

Microsoft（0）

Excel（4）

DIY（5）

Linux（4）
关于工作（8）
个人日记（7）
未分配的博文（18）

推荐博文

相关博文

DWR安全性問題(Access Control)

分类： Java

2008-11-24 11:40:26

關於Access Control,有提到可以使用J2EE的Roles.不過由於目前的ACL並非使用J2EE的Roles的機制.

所以自己利用Filter來作.不知道有沒有更有效率的方法.

DwrACL.java

package test.dwr;
 
import javax.servlet.*;
import javax.servlet.http.*;
 
public class DwrACL
    extends HttpServlet implements Filter {
  private FilterConfig filterConfig;
  //Handle the passed-in FilterConfig
  public void init(FilterConfig filterConfig) throws ServletException {
    this.filterConfig = filterConfig;
  }
 
  //Process the request/response pair
  public void doFilter(ServletRequest request, ServletResponse response,
                       FilterChain filterChain) {
    RequestDispatcher dispatcher = null;
    ServletContext context = filterConfig.getServletContext();
    try {
      HttpServletRequest httpServletRequest = (HttpServletRequest) request;
      HttpServletResponse httpServletResponse = (HttpServletResponse) response;
      HttpSession session = httpServletRequest.getSession();
      
      
      String logined = (String)session.getAttribute("logined");
 
      //判斷使否可以使用dwr的條件,若是不符,則導向錯誤頁面.
      if (logined != null && logined.equals("yes")) {
          filterChain.doFilter(request, response);
      } else {
          dispatcher = context.getRequestDispatcher("/error.jsp");
          dispatcher.forward(request, response);
      }
 
    } catch (Exception iox) {
      iox.printStackTrace();
      filterConfig.getServletContext().log(iox.getMessage());
    }
  }
 
  //Clean up resources
  public void destroy() {
  }
}

web.xml
- 如果放到正式的系統環境,記得把debug改成false

 
    DWR.Access.Control
    test.dwr.DwrACL
  
  
    DWR.Access.Control
    /dwr/*
  
  
  
    dwr-invoker
    uk.ltd.getahead.dwr.DWRServlet
    
      debug
      false
    
    10
  
  
    dwr-invoker
    /dwr/*

阅读(2310) | 评论(0) | 转发(0) |

上一篇：DWR.xml配置文件说明书(2)

下一篇：Java中通过DWR获取session、request、response

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6