Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server?
k_k_grass





发贴: 29
积分: 0
于 2003-10-16 09:27 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
如直接访问:
http://localhost:7001/WebApp/BServlet?FunctionID=SA_1&OperationID=-1&username=p&password=p

但正常应该通过登陆login.jsp到主页面,那样才可以控制权限


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
k_k_grass





发贴: 29
积分: 0
于 2003-10-16 09:28 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
对了,server采用的是weblogic 7


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
think





发贴: 240
积分: 91
于 2003-10-16 11:20 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
1.servlet2.3以上可以考虑使用filter控制认证,无认证跳转登陆页面。
2.反之考虑使用mvc模式,在servlet的基类中加入认证控制。
3.再不然就必须在每个servlet和jsp中加入控制代码。

think edited on 2003-10-16 14:02

作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
menzy



版主


发贴: 754
积分: 113
于 2003-10-16 15:50 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
其实问题的关键在于控制已经登陆的用户直接输入servlet名称和参数进行调用
如果远程用户确实有权限,那么这样并没有什么不妥当,后台需要对每个servlet的输入进行参数校验的,如果通过检验,不会有危害的。
如果没有权限,那么必须加上权限控制,通过JAAS实现,或者每次调用直接查询权限列表进行。


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
soloxiao



发贴: 0
积分: 0
于 2004-01-11 10:07 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
執行時判斷session可以嗎


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:soloxiao]
k_k_grass





发贴: 29
积分: 0
于 2004-01-11 11:32 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
当然可以不过我想能否通过配app server实现


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
menzy



版主


发贴: 754
积分: 113
于 2004-01-12 08:16 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
又看了一下,可以通过再head里面增加客户端浏览器反馈内容来实现,具体说就是把meta域利用起来,增加一些标记


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
hd5078200



发贴: 0
积分: 0
于 2004-02-05 21:27 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
可以使用J2EE的安全机制,定义角色和访问资源,将用户和角色绑定,就可以进行控制了


作者 Re:请教诸位大侠:如何禁止远程客户端直接输入 servlet 来访问app server? [Re:k_k_grass]
floater

Java Jedi

总版主


发贴: 3233
积分: 421
于 2004-02-06 04:56 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
write your own doGet().

"Any fool can write code that a computer can understand. Good programmers write code that humans can understand."
- Martin Fowler, Refactoring - Improving the Design of Existing Code

flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1
客服电话 18559299278    客服信箱 714923@qq.com    客服QQ 714923