【技术实现步骤摘要】
本专利技术属于计算机,具体地说是一种基于gwt与springsecurity处理页面越权访问的方案。
技术介绍
1、gwt(google web toolkit)是一种使用java语言快速构建和维护复杂但性能高的javascript前端应用程序的工具集,通过编译java代码生成javascript前端页面以及后台web服务,根据漏洞扫描,发现页面能越权访问,如果用户无某个人页面的权限,但是知道无权限页面的url,通过url能直接访问及操作该页面。
2、现有技术中,在长时间使用观察中,发现目前框架,通过gwt设置了页面各个模块后,编译后的js及web服务发布后,只会在用户登录时加载有权限的模块及页面,但是用户可以通过已知的url访问及操作无权限的页面,因为访问通过gwt生成的页面时不会调用后台服务进行校验,相当于只是js静态资源的加载,后台服务控制不了的情况,不方便工作人员使用。
3、为此,本专利技术提供一种基于gwt与springsecurity处理页面越权访问的方案。
技术实现思路
1、为了弥补现有技术的不足,解决
技术介绍
中所提出的至少一个技术问题,本专利技术提出一种基于gwt与springsecurity处理页面越权访问的方案。
2、本专利技术解决其技术问题所采用的技术方案是:本专利技术所述的一种基于gwt与springsecurity处理页面越权访问的方案,包括以下步骤:
3、s1:进行页面操作,同时调用服务配置该页面的权限参数
4、s2:通过springsecurity对web资源进行保护,利用filter拦截进行认证和鉴权,对服务调用进行保护;
5、s3:gwt的页面服务调用的http请求通过remoteservicerelativepath注解进行配置,原http请求没有页面权限相关参数,通过配置http请求参数将页面权限参数传给web应用;
6、s4:设置springsecurity的filter,通过filter的dofilter方法获取servletrequet的请求,并转换为httpservletrequest,然后从httpservletrequest中获取参数map;
7、s5:根据@remoteservicerelativepath设置的authority的key获取参数map的value(即页面请求权限),再根据用户权限进行匹配,如果用户权限无法匹配该请求权限,则不将该请求加入springsecurity的filterchain,并直接返回错误响应,设置错误响应码及错误信息为“无调用权限”;
8、s6:统一处理gwt的服务调用的返回处理,根据不同的响应错误码在页面展示不同的提示信息。
9、本专利技术的有益效果如下:
10、1.本专利技术所述的一种基于gwt与springsecurity处理页面越权访问的方案,通过springsecurity对页面操作的权限控制,实现了在用户进行页面操作进行权限的校验,无权限的页面只能查看不能操作的效果,进而方便了工作人员的使用,减少了在对生成的页面调用后台服务进行校验时,出现后台服务控制不了的情况。
本文档来自技高网...【技术保护点】
1.一种基于GWT与SpringSecurity处理页面越权访问的方案,其特征在于:所述一种基于GWT与SpringSecurity处理页面越权访问的方案包括以下步骤:
【技术特征摘要】
1.一种基于gwt与springsecurity处理页面越权访问的方案,其特征在于:...
【专利技术属性】
技术研发人员:郭旺,
申请(专利权)人:上海通联金融服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。