不论是App的用户系统还是使用声明性安全管理,对于特定的系统来说总会有一些限制,或者不能满足你的权限要求。
简单的登录或许可以,但加上权限设定,应该是只能自己做了。
所以,现实一点,考虑怎么设计用户和权限系统,减少与整个系统、应用的耦合才是出路。
不论是App的用户系统还是使用声明性安全管理,对于特定的系统来说总会有一些限制,或者不能满足你的权限要求。
简单的登录或许可以,但加上权限设定,应该是只能自己做了。
所以,现实一点,考虑怎么设计用户和权限系统,减少与整个系统、应用的耦合才是出路。
能不能对容器的LogingModule详细的进行一下说明?
谢谢!
如果一个问题可以使用设计上的巧妙或者基本API中的技术来解决,考虑别的东西都如楼上的兄弟所说,没有意义,而且入了歧途。
在详细设计的模拟实验时时,用户登陆后,Filter Servlet的权限模块正常工作。但是,用户切换使用另一个模块时,问题就发生了:Filter Servlet无法访问特定用户的Session,也就无法取得Session中用户的资料,进而无法完成权限认证......问题就在于Filter Servlet无法访问特定的Session,这似乎也很正常,Filter Servlet监控很多的URL,因此无法绑定到特点的Session。这样一来,将用户资料放在Session就不可用了。最后,我们使用一种比较讨厌的方式,完成了Filter Servlet权限认证系统。但是,事后来看,使用老式的control Servlet权限认证方式,还要比Filter Servlet权限认证方式好的多。Filter Servlet带来的好处,还不如不能访问特定的Session的坏处大。
我承认,我们并没有深入研究Filter Servlet,上面的用法可能有误。因此,希望楼上推崇Filter Servlet的兄弟,给一个合适的解决方法,使Filter Servlet的权限模块比control Servlet的权限模块,更为好用。
你可以尝试自己做 Session 啊~~ 做一个 Global 的 Session, 这样无论用户在哪,它的 Session 都只有一个了 Filter 可以与 Global Session 通讯就可以了
自己做ServletFilter有限制,如Jsp直接调用Jsp,filter就失效了,只能适合自己的特定应用。
Global Seesion 应该是一个好的解决方法。谢谢您的提醒。
不过,Global Seesion 实现起来并不简单,作为SSO的一部分,它会很有用,在一些希望简单设计的项目中就似乎复杂了一些。
毕竟,对于实现了MVC架构的系统,要作权限检察时,本来就只要在C的每个流向的控制中加入一行程序,调用一个方法即可。这种实现方式,很简单,系统结构也不错。
使用Filter Server时,能不能有比上述方法更简单的权限检察实现呢。作为新规范,声明提供了解决权限问题的最好方案,应该会有更好的表现吧。
(仔细想想,也许是我的期望值过高了。:)......或者是,期望的方向不是它们要重点解决的问题。易用性,也许从来不是java规范制度者的重点考虑的问题)
relive兄,在下不太理解你所说的这一段。“监控多少URL”和访问“特定的Session”有什么关系?Filter Servlet为什么要绑定特定的Session ,你所说的这个“绑定”究竟代表什么意思呢?
愿闻其祥。
虽然我本人也是很喜欢Filter,它的功能也很强大,但是既然J2EE标准提供了很好的功能,为什么不使用呢?
我们在使用声明性安全时大部分的配置都是在标准的Web.xml文件中进行的,容器相关的配置只有将系统中的逻辑角色映射到Server的实际的角色者一步,当需要换服务器时,改动也是很小的。
Filter Servlet中可以访问的request是ServletRequest,而不是普通Servlet中提供的HttpServletRequest,接口ServletRequest是HttpServletRequest的Superinterfaces,有一些HttpServletRequest中的特性,ServletRequest是不支持的。很不幸,Session就是其中之一。因此,在Filter Servlet是不能访问Httpsession的(至少,不能很容易的访问到)。
用户登陆后,将用户资料放在HttpSession中,是解决权限判断时的所需资料的一个最简单的办法。采用Filter Servlet后,这个办法就不合适了。当然,你可以用很多方法解决这个问题。iceant 兄提及的Global Session 即是其中一种方法。但对于登陆要求不高的系统,实现代价就有点高了。因此,Filter Servlet引入便利的同时,带来了新的麻烦,并且麻烦程度似乎要超过便利。
以上即是“Filter Servlet为什么要绑定特定的Session”的解答。
至于“监控所有URL”以致不能访问“特定的Session”,纯粹是因为Filter Servlet采用“接口ServletRequest”这一事实,而作的猜测,并没有什么根据。只是个人觉得Filter Servlet要访问特定的Session,有些实现上的问题。
原来如此,我着实吃惊不小。
关于此,的确是有问题,不过你可以造型啊,将其造型成HttpServletRequest就行了,如果担心造型安全问题,可以使用instanceof判断在前。
Sun的推荐资料,Core J2EE Pattern中就是这么使用的,另外,你完全可以在Filter上继承一下,做一个HttpFilter嘛,然后继承之,不就可以了吗?
上溯和造型一般我们使用上溯而不是造型,因为上溯是安全的,而造型是不安全的,你必须确信其类型是符合的。但是,Sun都是这么用的,没办法了。
原来如此。造型或HttpFilter都应该是比较好的解决方法。实现比较简单。
我们原来完全没有动过类似的念头,可能是发现Filter Servlet中提供的仅是ServletRequest,而不是它的子接口HttpServletRequest以后,潜意识中就认为Filter Servlet使用HttpSession不安全。通常情况下,这种担心是对的,子接口实现的功能,父接口不一定支持。不过,Core J2EE Pattern也这么干了,Filter Servlet提供的ServletRequest,应该能被安全的造型为HttpServletRequest吧。
我们的解决思路只是局限于造一个Filter Servlet能访问的Session或是全局Session上,实现方法都比较麻烦。既然Filter Servlet支持HttpSession,事情就好办多了。
不过,既然Filter Servlet支持HttpServletRequest,sun干吗不实现HttpFilter呢。filter用在使用Http协议系统的情况,比其它应用都广的多。看来,Servlet2.3版这个final的称号,也许应该改动一下。