DWR安全性资料搜集

实习项目中用到了DWR，这真是一个非常强大的东西，能够在页面上做近乎神奇的服务器调用。（js和java双J配合起来几乎可以做RIA了，我是这么觉得的）

不过如同所有JS上的东西和R（Remote远程调用）的东西，安全性是最难保证的东西，想象一下用户可以下载对应的js然后就可以调用服务器上的业务方法了，想起都背后发凉。

看到网上有人用Filter做Access Control，也是噩梦。项目中的业务写成了IXXXXService的接口，并且通过注解让Dwr调用，这样即使可以在Filter中判断进入某个Service的权限，获得类中所有方法的控制权，问题是不同方法的权限范围也是不一样的，我晕了，难道要我重写业务层按照权限来划分类吗？这看上去很别扭啊。

 

注解类给DWR：

@RemoteProxy(name = "TopicRemote", creator = SpringCreator.class, creatorParams = { @Param(name = "beanName", value = "TopicServiceImpl") })
public class TopicServiceImpl implements ITopicService{

Remote方法

@RemoteMethod
	public int deleteTopicDomain(long topicDomainID) throws Exception {

  

 

还是有什么方式可以注解不同的方法有不同的调用域？本人其实是大菜鸟，对DWR的XML配置也是小白（spring的也是）。

 

参考资料（看不很懂）：

 http://topic.csdn.net/u/20081203/09/35744ab2-bf31-49b2-b32c-3e64aeb18cf6.html

看看dwr在安全性上的实现，dwr自己表明很认真的对待安全问题并在通过下面的步骤防止出现安全问题
1、dwr只会对dwr.xml中定义的java bean和method进行映射create元素定义的class
2、dwr只会把convert中定义的class进行转换

 

Filter方式：

http://blog.chinaunix.net/u1/55983/showart_1662554.html

 

public class DwrACL
    extends HttpServlet implements Filter {
  private FilterConfig filterConfig;
  //Handle the passed-in FilterConfig
  public void init(FilterConfig filterConfig) throws ServletException {
    this.filterConfig = filterConfig;
  }
 
  //Process the request/response pair
  public void doFilter(ServletRequest request, ServletResponse response,
                       FilterChain filterChain) {
    RequestDispatcher dispatcher = null;
    ServletContext context = filterConfig.getServletContext();
    try {
      HttpServletRequest httpServletRequest = (HttpServletRequest) request;
      HttpServletResponse httpServletResponse = (HttpServletResponse) response;
      HttpSession session = httpServletRequest.getSession();
      
      
      String logined = (String)session.getAttribute("logined");
 
      //判斷使否可以使用dwr的條件,若是不符,則導向錯誤頁面.
      if (logined != null && logined.equals("yes")) {
          filterChain.doFilter(request, response);
      } else {
          dispatcher = context.getRequestDispatcher("/error.jsp");
          dispatcher.forward(request, response);
      }
 
    } catch (Exception iox) {
      iox.printStackTrace();
      filterConfig.getServletContext().log(iox.getMessage());
    }
  }
 
  //Clean up resources
  public void destroy() {
  }
}

 

refer方式（通过防盗链的思路）：

http://www.iteye.com/topic/211487

其中一个回帖“我在使用DWR时，利用AOP技术，对权限进行了判断，如果是指定权限才能访问的资源，在没有授权的情况下会报一个异常出来。我不知道您说的安全性是指不希望别人从“另外”一个地方利用Ajax方式读取您的资源，还是说有关于权限方面的问题。如果仅仅是不希望其他站点访问您的资源，我想用referer就应该是可以了，如果有权限问题的话，对权限进行判断就能解决”似乎非常好~