重要提示:根據lironghai的評論,經驗證,發現在WebLogic下由于安全限制不能使用本文所推薦的目錄安排。為了保證系統的可移植性,不建議大家采用本文的方式。
問題
使用Struts框架時��,權限通?���?刂圃贏ction級(比如將權限驗證放在Action的基類中,這樣新的Action都繼承于這個Action基類,所有Action就可以專注于業務邏輯,而不需要重復地進行權限控制了)�����,這也符合MVC中的角色劃分����。然而,這會產生一個安全隱患。因為權限控制在Action中��,所以�����,頁面也就沒有安全屏障了�����。一般的新增數據��、更新數據不會有什么問題����,因為這些數據必須通過HTML的Form提交到Struts的中心控制器��,最終由相應的Action來處理�����,所以Action中就可以驗證該用戶的權限了。然而����,對于一些不需要Action進行數據存取����,或者有的頁面沒有嚴格按照MVC的角色劃分而在頁面中有獲取數據的代碼��,那么這個頁面就危險了�����。比如,顯示一張通知頁面�����,通常可以通過配置權限,使部分授權的用戶才可以看到該級別的通知��。這個通知頁面是不需要從數據庫中獲取數據的�����。所以,可以不通過Action的調用來顯示�����,而是直接敲入顯示該通知的頁面的鏈接就可以看到了����。甚至不需要登錄系統,不用管是否有查看該通知的權限��!
比如下圖中�����,請求1:
http://.../showannouncement.do |
是通過正常的途徑訪問的����,需要經過權限驗證�����。而請求2:
http://.../announcementshow.jsp |
則完全繞過了權限檢查�����,任何人,不需要登錄系統就可以訪問到該信息了����。
解決方案
解決的辦法也不是沒有����,非常簡單��。大家都知道JSP Web容器會對應用的WEB-INF目錄下的所有文件加以保護的,任何用戶都不能直接通過瀏覽器訪問WEB-INF目錄(包括子目錄)下的任何資源�����,然而這些資源可以被JSP Web容器訪問��。所以��,解決辦法已經出來了。可以把你的JSP頁面放到WEB-INF目錄下�����,在struts-config.xml的action的配置中注意要把轉向的頁面指向類似:
/WEB-INF/pages/announcementshow.jsp�����。
這樣就保證了所有數據的安全了�����。
使用本文的方法,甚至可以對靜態的頁面��,比如html的頁面進行保護����,設置權限以限制訪問
posted on 2005-10-24 22:07
Sung 閱讀(188)
評論(0) 編輯 收藏 所屬分類:
Struts