java 板


LINE

:



※ 发信站: 批踢踢实业坊(ptt.cc)
: ◆ From: 123.193.201.124 : → cyclone350:前面Order的例子是参考王者归来的书 03/13 22:46 : → qrtt1:为什麽不检查 order user == current user 就好? 03/14 08:22 : → cyclone350:我想问的就是如何有效果的达到这件事 03/14 08:58 : → qrtt1:session, token, https !? 03/14 09:32 q大所提的算是很实际的已知条件 前篇文章一开始有提及说,我们可以在每次set前都检查User资料 current user资料包含从Session拿... 从https拿... 或是从DB捞值判断, anyway,这种很实际的说法被我省略掉了, 因为不论如何,这种作法都必须在set前做检查。 在DynamicProxy作法里,set必须多传一个参数进去,如何把参数传进去 当然是可透过技术上的方式,例如在set前透过session抓到current user 抓到後再呼叫 setProductName("theName",user)。 应该说我要问的的确跟技术有点关系,但我想达到的目标比较像是设计方法 让我分派下去的PG可以着重在商业逻辑撰写,而不是在逻辑撰写中夹杂 许多权限的分派,或记忆体控管之类等等.... 也就是问问看是否有更AOP的作法 其中JSR250我说"可以理解",意思是使用@RolesAllowed("ROLE_ADMIN") 背後做法可以去整个 applicationContext 或 webContainer 去拿到 current user 如何拿当然包刮 session, https, db ... 之类的 但是这个值是死的,我只能判断 current user 是不是等於 ROLE_ADMIN 想要动态的方式如下 例如像是这样 public class order { @Owner private String orderUser; private String productName; @AllowByOwner public void setOrderUser(String orderUser) { this.orderUser = orderUser; } @AllowByOwner private void setProductName(String productName) { this.productName = productName } } 可是这样子要如何在背後程式实作,我是没有想法的... 我可以从各种方式抓到 current user... 但是我不知道如何用哪种方式抓到 order user... 我也不确定透过反射机制是否可以达到这样的做法 虽然我订了 @Owner 介面,但是不知道如何实作 也许我没理解q大所要回答的意思 主要还是在问更弹性的设计来达到security的效果。 --



※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.218.64.133
1F:→ qrtt1:order 建立时,会记录下 order 与 user 对应关系。这样就有 03/14 10:50
2F:→ cyclone350:http://ppt.cc/Sqil 这是spring对@RolesAllowed的实作 03/14 10:51
3F:→ qrtt1:查出 order owner 的方法了。检查二者是否一致,是怕 owner 03/14 10:51
4F:→ qrtt1:把它的 url 给人(或被偷了)。做 token 验证也可以防不合法 03/14 10:52
5F:→ qrtt1:的存取。不过,用 aop 或 filter 能做到查核操作 flow 03/14 10:53
6F:→ qrtt1:是不是属於正常的情况。 03/14 10:53
7F:→ qrtt1:当然,可能我想太简单,你想太复杂 :P 所以,搭不上线 orz 03/14 10:54
8F:→ cyclone350:我想我理解q大的意思了。我再去研究spring security 03/14 23:38
9F:→ cyclone350:有没有功能符合这种需求。 03/14 23:40
10F:→ qrtt1:ps. 我只是一般而论,俺没用 spring security 的经验qq 03/15 10:00
11F:推 kiwatami:同意q大 session + user-order的mapping物件就可以解决 03/29 22:51







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:BabyMother站内搜寻

TOP