Tag Archives: dwr

Spring AOP 在DWR安全上的应用

在上一篇文章里提到了可以让 DWR自动往Service里面注入一个与Servlet相关的对象,作为参数。只是这样,要每个Service都加上这样的一个参数,奇丑无比!想了 想,决定就让DWR污染一下,Service保留原样。只是增加一个MethodBeforeAdvice(正是它让DWR的API污染了一下。),来对 Service的方法进行拦截,可以在Service的调用之前对操作进行所谓的身份验证,授权之类的操作。完整的拦截模块几个类文件加个Spring配 置文件搞定。 实现拦截功能的类有: 一、MainInteceptor,主拦截器,所以DWR的远程调用都会被拦截,当然, 调用是细到方法级的,可配置的,该类实现了Spring AOP的MethodBeforeAdvice接口,该类有一个集合成员变量,成员为IInteceptor。 二、IInteceptor,是一个接口,仅有一个execute(AopContext context)函数。该接口是拦截器(与前面的主拦截器不同,本接口定义的拦截器是可以由用户去实现,并且可以有多个)。实现接口只需要实现方法。这些 拦截器会被主拦截器回调。 比如要实现一个身份验证的拦截,SecuityInteceptor,在配置文件中把这个拦截器设置为主拦截器的属性即可获得回调。 三、AopContext,Aop上下文。在主拦截器调用IInteceptor的对象时,把这个上下文对象作为参数来调用子拦截器。从该上下文可获得一系列信息,如HttpSession,HttpRequest等。甚至你可以自已设置属性。 下面看一些代码片断: MainInteceptor: private List<IInterceptor> interceptors;//定义一系列的子拦截器 public void setInterceptors(List<IInterceptor> interceptors) { this.interceptors = interceptors; } 在before(Method method, Object[] params, Object target)方法里: WebContext ctx = WebContextFactory.get();//唯一被DWR污染的地方 HttpSession session … Continue reading

Posted in 技术 | Tagged , , , | Leave a comment

关于DWR与Servlet、安全

使用DWR做Remote,完全绕过传统的MVC框架,如Struts、Webwork,单用一个DWRServlet来做控制器。DWR向客户端 暴露了服务端的服务接口,很有可能有没有任何限制的情况下被客户端调用所暴露的接口。如果使用传统的MVC框架,可以很方便地解决很多问题诸如身份验证、 权限控制等。而DWR提供的功能是给客户端暴露服务接口。上面所涉及的问题却少有牵涉。不过,解决方案还是有的。其中之一就是使用AOP,自已实现一些拦 截功能,例如结合Spring,使用DWR的Spring整合功能,给客户端提供一个Spring的Bean,而这个Bean是经过代理的 (Proxy)。实际上已经保证了身份认证等动作完成了。而我们要多做的是,写一些Spring的Bean来作拦截器。再在原有的服务上再加上一些 AOP。当然,DWR对于安全的还是提供了些设施的,基于J2EE的安全策略之上。感觉不是十分良好,所以没用,也没深入研究。:P 很多时候,在做身份验证及授权的时候可能会用到应用的环境,如ServletContext,Session等。那么在DWR中的服务或拦截器需要用到Session这些东西的时候,获取是一件很简单的事。通常有两个办法 一、使用DWR的API。其实是一个静态的方法,极其不推荐。所以示例也就免了。 二、让DWR自已注入需要的元素,这里讲的元素仅限于: HttpServletRequest HttpServletResponse HttpSession ServletContext ServletConfig 做法是在服务里定义方法的时候,把以上的元素作为参数。在方法体内直接使用即可。而不必担心它的来源,来源是DWR会自已根据参数的类型注入。在客户端调 用的时候不需要提供这个参数。ServletContext之类的东西作为ThreadLocal的变量保存起来的。简单的示例。 1、服务代码 package net.jf.ajax.session; import javax.servlet.http.HttpSession; public class Store { public void setAttribute(String name,String value,HttpSession session){ session.setAttribute(name,value); } public String getAttribute(String name,HttpSession session){ return (String) session.getAttribute(name); } } 2、spring配置文件 <beans> <bean id=”store”> … Continue reading

Posted in 技术 | Tagged , , | Leave a comment