[Javalist] WebStart JNLP API
Zoltán Bernát
bernatzoltan at gmail.com
2013. Feb. 5., K, 10:12:17 CET
Zsombor! Csak a leveled masodik felet ertem, hogy szuntessem meg a web
service-ok http-basic autentikaciojat.
Ez akar jarhato ut is lenne. Ekkor a kontener egyaltalan nem vedene a
ws hivasaimat. Viszont egy servlet filter engedelyezne, vagy tiltana
meg a ws elereset (megakadalyozna a ws adott metodusanak meghivasat,
adott esetben)
(raadasul mukodik is egy ilyesmi servlet filter: a kliens a http
headerben kuld egy session id-t (amit a login alkalmaval kap a
servertol), es ha nincs olyan sessionje a usernek (pl lejart a session
ideje), akkor nem engedi a ws hivast, es visszadob egy http error
kodot.
(A session adminisztalasat egy singleton EJB vegzi egyebkent)
Viszont ha nem a kontener autentikal, akkor nekem kellene megoldanom
az EJB retegbe torteno principal eljuttatasat, valamilyen transparens
modon. Ez talan meg menne is - a csekely hozzaertesemmel - (session
id eljuttatasat sikerult megoldani), de akkor az egesz server kodot at
kellene irnom, mert sok helyen deklarativ, es sok helyen programozott
authorizalas mukodik. Ez irgalmatlan nagy melo lenne.
Zsombor <gzsombor at gmail.com> írta (2013. február 5. 9:00):
> Értem, hogy ez így működik jelenleg, azt nem értem, hogy miért nem akarod
> ezt megváltoztatni, ha már ez nem működik úgy, alapból, ahogy szeretnéd.
> Miért nem jó a korábban javasolt - minden lekérésre access denied-ot dobó
> URL-re hívás, ami megoldaná a logout-olást?
> Ezért javasoltam, hogy ha ez nem működik, akkor a webservice-k
> authentikációját változtasd meg. Ezt vagy app szerver specifikusan oldhatod
> meg - eddigi tapasztalataim szerint mindegyikben kb egy osztály
> leimplementálása az egész - vagy pedig egy szervlet filter irásával.
>
> Üdv
> Zs
>
> On 2013.02.05. 1:14, "Zoltán Bernát" <bernatzoltan at gmail.com> wrote:
>
> Huha. 3-szor is elolvastam megsem ment be a fejembe, amit irtal.
> Itt a server-kliens kommunikacio web service-ekkel tortenik. Minden ws
> le van vedve <auth-method>BASIC</auth-method> modon.
> Azaz a kliensnek minden hivas http fejebe bele kell tenni az un/pw parost.
> Ez a server oldalon termeszetesen teljesen transzparens, a server
> kodnak semmi teendoje ezzel. Ugybar az EJB retegbe is transzparens
> modon eljut a principal.
> De a kliens oldalon is szinte u.ez a szitu. Egyetlen class van, ami
> intezi a kapcsolodast a server fele, az irja bele a http headerbe a
> http basic auth infokat. A servertol kapott http valsz fejlecevel
> pedig semmi dolga nincs a kliensek.
>
> Ha jol gondolom <auth-method>FORM</auth-method> modon bonyolultabb
> lenne a dolog, vagy megsem? :)
>
>
>
>
> Zsombor <gzsombor at gmail.com> írta (2013. február 5. 0:52):
>
>> Hmm, hát nem teljesen értem mi az olyan kritikus a jar-okban, de ha ez
>> annyira fontos, akkor csi...
>
>
> _______________________________________________
> Javalist mailing list
> Javalist at lists.javaforum.hu
> http://lists.javaforum.hu/mailman/listinfo/javalist
>
További információk a(z) Javalist levelezőlistáról