jndi,ejb,rmi安全问题

05-12-02 wuyiming
本人现在开发一金融项目采用到ejb技术,开发工作将近完成时碰到一个很严重的问题。

开发环境是weblogic+oracle, 数据库连接采用在weblogic里配置数据源,注册到jndi服务。

现在的问题是,我在能连接到服务器的任何一台电脑上,都可以通过编写一段小程序lookup到

数据源,然后得到数据库连接,进而修改数据库里的数据!

请问各位,有什么办法对数据源的访问进行控制,授权?

还有,我通过得到ejb的客户端包,知道服务器地址,我就可以直接调用ejb的方法,而服务器端居然丝毫没有什么控制!

另外,rmi也是这样,我得到rmi客户端接口包,就可以任意调用rmi的方法!

如何解决这三个问题(jndi, rmi, ejb),让服务器能对访问进行有效的控制和验证?

banq
2005-12-04 10:22
>可以直接调用ejb的方法,而服务器端居然丝毫没有什么控制

配置ejb-jar.xml,使用基于容器的安全配置,可以将权限授权到ejb的方法,具体代码可参考Jdon框架应用案例中的remote案例,其中有ejb-jar.xml的配置

lengfeng
2005-12-04 15:55
weblogic里去掉那个匿名的用户

猜你喜欢