实习项目中用到了DWR,这真是一个非常强大的东西,能够在页面上做近乎神奇的服务器调用。(js和java双J配合起来几乎可以做RIA了,我是这么觉得的)
不过如同所有JS上的东西和R(Remote远程调用)的东西,安全性是最难保证的东西,想象一下用户可以下载对应的js然后就可以调用服务器上的业务方法了,想起都背后发凉。
看到网上有人用Filter做Access Control,也是噩梦。项目中的业务写成了IXXXXService的接口,并且通过注解让Dwr调用,这样即使可以在Filter中判断进入某个Service的权限,获得类中所有方法的控制权,问题是不同方法的权限范围也是不一样的,我晕了,难道要我重写业务层按照权限来划分类吗?这看上去很别扭啊。
注解类给DWR:
@RemoteProxy(name = "TopicRemote", creator = SpringCreator.class, creatorParams = { @Param(name = "beanName", value = "TopicServiceImpl") })
public class TopicServiceImpl implements ITopicService{
Remote方法
@RemoteMethod
public int deleteTopicDomain(long topicDomainID) throws Exception {
还是有什么方式可以注解不同的方法有不同的调用域?本人其实是大菜鸟,对DWR的XML配置也是小白(spring的也是)。
参考资料(看不很懂):
http://topic.csdn.net/u/20081203/09/35744ab2-bf31-49b2-b32c-3e64aeb18cf6.html
看看dwr在安全性上的实现,dwr自己表明很认真的对待安全问题并在通过下面的步骤防止出现安全问题
1、dwr只会对dwr.xml中定义的java bean和method进行映射create元素定义的class
2、dwr只会把convert中定义的class进行转换
Filter方式:
http://blog.chinaunix.net/u1/55983/showart_1662554.html
public class DwrACL
extends HttpServlet implements Filter {
private FilterConfig filterConfig;
//Handle the passed-in FilterConfig
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
//Process the request/response pair
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain filterChain) {
RequestDispatcher dispatcher = null;
ServletContext context = filterConfig.getServletContext();
try {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
HttpSession session = httpServletRequest.getSession();
String logined = (String)session.getAttribute("logined");
//判斷使否可以使用dwr的條件,若是不符,則導向錯誤頁面.
if (logined != null && logined.equals("yes")) {
filterChain.doFilter(request, response);
} else {
dispatcher = context.getRequestDispatcher("/error.jsp");
dispatcher.forward(request, response);
}
} catch (Exception iox) {
iox.printStackTrace();
filterConfig.getServletContext().log(iox.getMessage());
}
}
//Clean up resources
public void destroy() {
}
}
refer方式(通过防盗链的思路):
http://www.iteye.com/topic/211487
其中一个回帖“我在使用DWR时,利用AOP技术,对权限进行了判断,如果是指定权限才能访问的资源,在没有授权的情况下会报一个异常出来。我不知道您说的安全性是指不希望别人从“另外”一个地方利用Ajax方式读取您的资源,还是说有关于权限方面的问题。如果仅仅是不希望其他站点访问您的资源,我想用referer就应该是可以了,如果有权限问题的话,对权限进行判断就能解决”似乎非常好~
分享到:
相关推荐
8. **安全性与优化** 使用DWR时,需要注意安全问题,比如防止跨站请求伪造(CSRF)和跨站脚本攻击。同时,通过合理配置和优化,可以提高DWR应用的性能,减少不必要的网络通信。 9. **版本升级与社区支持** DWR有...
DWR提供了自动JSON和XML序列化、安全性和缓存策略等特性,使得开发人员能够轻松地创建动态、实时的Web应用。 Spring框架则是Java企业级应用的事实标准,它提供了一个全面的编程和配置模型,用于简化Java应用的开发...
8. **安全性与优化**:理解如何避免跨站脚本攻击(XSS)和跨站请求伪造(CSRF)是使用DWR时需要注意的安全问题。此外,还可以学习如何通过缓存和批处理等技术优化DWR的性能。 总之,"dwr增删改查"的例子是一个很好的...
3. **安全**:DWR内置了安全机制,如CSRF(Cross-Site Request Forgery)防护,确保了远程调用的安全性。 4. **可扩展性**:DWR的设计允许开发者通过自定义拦截器、转换器和序列化器来扩展其功能,以适应不同的项目...
2. **配置文件:** `dwr.xml` 文件用于配置DWR的行为,包括哪些Java类和方法可以被远程调用,以及安全性设置等。 3. **JavaScript API:** DWR 提供一组JavaScript库,使得在浏览器中与服务器交互变得简单。主要的接口...
Direct Web Remoting (DWR)是一个开源的Java库,它使得JavaScript可以安全地调用服务器端的Java方法,就像它们是本地函数一样,从而实现前后端的异步通信。DWR通过在客户端和服务器端之间建立实时的HTTP连接,使得...
DWR(Direct Web Remoting)是一种Java库,它允许JavaScript在客户端与服务器端的Java对象进行直接交互,实现Ajax功能。...在实际项目中,还要注意安全性问题,如防止上传恶意文件、限制文件类型和大小等。
4. **安全考虑**:DWR2提供了安全配置,防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF),理解这些安全措施并正确配置。 5. **日志管理**:了解如何设计和实现一个日志管理系统,包括日志的收集、存储、检索和展示策略。...
总的来说,DWR和JavaScript的结合使用,特别是在登录验证场景下,能够有效地提高Web应用的交互性和用户体验。通过DWR,开发者可以轻松地在前后端之间构建高效的通信桥梁,实现复杂的数据交换和业务逻辑处理。同时,...
Direct Web Remoting (DWR) 是一个开源的Java库,它允许在Web应用程序中实现实时的Ajax通信。DWR简化了JavaScript与服务器端Java对象之间的...需要注意的是,实际项目中还需要考虑安全性、性能优化以及错误处理等问题。
DWR 2.0 版本相比于早期版本,引入了更多特性,比如增强了安全性和性能,支持更多的数据类型转换,以及更丰富的错误处理机制。在这个日志查看器中,开发者可能利用了DWR的这些改进,确保了数据传输的安全和高效,...
### DWR 实现密码找回功能详解 #### 一、引言 ...Direct Web Remoting (DWR) 是一个简化客户端与服务器端交互的...此外,还可以进一步增强安全性,例如通过加密传输的数据,以及在发送密码前对用户的邮箱进行验证等措施。
虽然DWR提供了便利的接口,但也需要注意安全性和性能问题。确保只暴露必要的方法,避免直接操作敏感数据。同时,对于大量数据,应考虑分页或延迟加载,以减少网络传输和客户端处理的压力。 综上所述,DWR使得...
DWR的核心是建立一个安全的、跨域的JavaScript到Java的通信通道。它通过在服务器端部署一个Servlet,该Servlet处理来自客户端的AJAX请求,并将结果返回给客户端。DWR支持多种调用模式,包括异步和同步,以及回调和推...
- `form`标签的`action`属性指定Servlet的URL,`method`属性定义提交方式,默认为GET,但通常使用POST以保证数据安全性。 3. **JSP**(JavaServer Pages): - JSP是Java Web开发的一种视图技术,允许在HTML中...
它通过ActionForm对象收集用户输入,Action类处理业务逻辑,并将结果转发给JSP页面进行展示。Struts的配置文件定义了请求与Action之间的映射,使得系统更具可维护性和可扩展性。 **2. Hibernate3.0**:Hibernate是...
DWR提供了一种安全、高效的AJAX解决方案,让前端页面能够实时更新,提升用户体验。通过DWR,开发者可以轻松调用Java方法,实现动态网页的交互。 在压缩包内的OA办公自动化管理系统项目中,开发者可能已经实现了用户...
在这个项目中,我们使用了SSH(Struts2、Hibernate和Spring)框架进行整合,DWR(Direct Web Remoting)进行异步处理,并利用MD5加密技术确保数据的安全性。 1. **SSH框架整合**: SSH是Java Web开发中的三大主流...
Oracle10g是Oracle公司推出的数据库管理系统,它支持多种数据类型、高级安全性、高性能以及可扩展性。在CRM系统中,Oracle10g存储着客户信息、订单记录、销售数据等各种业务数据,为业务分析提供基础。 这个CRM系统...
5. **安全与权限控制**:通过Spring Security等组件实现用户认证和授权,确保数据的安全性和访问控制。 总的来说,这个基于S2SH开发的问卷调查系统充分利用了现代Java Web技术的优势,实现了高效、用户友好的问卷...