某工作流程系统的权限问题,希望大家不吝赐教 ^_^ 安全的话,可以通过a)数据加密b)ssl解决。权限判断,你那样应该也可以了吧,权限越细将来越不好管理 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 数据加密和SSL主要从网络传输上考虑,那么如果是指在业务操作上,对权限的管理判别,像我构想的那样,取用户登录session的Id和流程环节Id,再用过bean来处理判别的方式,有什么不好和可以改进的地方?由于以前没有真正做过什么安全性要求很高的项目,所以很没有经验的说^_^ 还希望大家多多指点。顺祝各位羊年吉祥!!!! 你可以这样,自定义一个para作为secure id 在 input type="hiden"中传递其中的value是用自己写的helper class生成的包含权限的hashcode,或加密后的编码,helper class中自定义用户权限使用filter class作为每次web请求的验证类,其中验证此用户的value是否与请求服务相辅,不符,跳转错误页面这是session tracking中的一种方法,加密强度可以,并且,较简单 对DavidBone的补充一点。最好不要不要在客户端用input type="hiden"的表单传递敏感数据,即使被加密过。 我也是感觉form里面的东西都不会安全的,单看源码就能看出来。大家有没有做过相似的系统,说说经验呢?我现在是类似对以往的一个旧系统补上安全鉴权,如何做比较好? 肯定不能在jsp文件中判定权限的,漏洞太大了。我们使用struts框架开发web,在action里调用ejb的方法判定权限。ejb里的权限判定和你想得差不多。 有具体的例子否?俺对ejb不怎么懂的说:( 安全方面用 SSL + 防火墙 + OS安全 。权限方面设计一个或者多个控制器,以及一套权限规则。 现在主要是问具体的权限鉴定模式该如何做,简单的bean直接做的缺点有哪些? 首先应该有个权限规则,任何一个工作流系统都应该有一个可以管理道一定粒度的权限系统,这里推荐一篇文章http://www.jdon.com:81/jive/article.jsp?forum=46&thread=4110&message=438816文章中说的也不完全符合每个系统的要求,你可以根据自己的要求重新定制。然后,就是一个流程的定制,当你利用权限系统在每个节点(假定流程由节点组成)的参与者和每个节点的模板和模板中的模块。要注意的是,参与者并不一定就是一个用户,其实它是一个规则,它说明了什么杨的用户可以参与这个节点,比如:某组织下具有某种身份或者权限的用户。这个规则你可以根据你具体的要求增减。一旦权限系统和流程规则确定一个工作流系统基本就完成了。以上是个人做工作流的经验。 thx TheTensJ道中的文章以前看过的,现在不是权限规则的问题,具体的权限规则,我大体已经制定好了,只是说现在如何实现这种权限规则?即如何具体鉴权。 我有一个简单一些地实现,但你最好先决定权限控制的程度。简单一点到页面,就是对页面的对应功能是否在session中的权限串中进行判定。如果需要具体到页面元素,只要对权限的结构进行设计既可。 定义好权限后,定义角色一个角色拥有很多权限就是先定义好workflow后,根据用户登陆来判断权限而生成菜单,不过这样很笨最好是用EJB里定义,我对EJB正在学习之中 遍历某年某月的每一天 关于TR的顺序问题! <a >如何传中文转码 applet无法查看? 求一个简单画面的java源代码 spring+hibernate分页查询时间 200分相求一简单jsp网上报名功能源程序! JSP中新建文件夹的问题 请教高手:中文问题 netbeans做web项目时遇到的问题,折腾好久感觉头发掉光了,救救孩子吧 为了取到刚刚生成的记录的Id,而对表进行加锁的问题 一个Page局部更新的问题
其中的value是用自己写的helper class生成的包含权限的hashcode,或加密后的编码,helper class中自定义用户权限
使用filter class作为每次web请求的验证类,其中验证此用户的value是否与请求服务相辅,不符,跳转错误页面
这是session tracking中的一种方法,加密强度可以,并且,较简单
大家有没有做过相似的系统,说说经验呢?我现在是类似对以往的一个旧系统补上安全鉴权,如何做比较好?
用 SSL + 防火墙 + OS安全 。权限方面
设计一个或者多个控制器,以及一套权限规则。
http://www.jdon.com:81/jive/article.jsp?forum=46&thread=4110&message=438816
文章中说的也不完全符合每个系统的要求,你可以根据自己的要求重新定制。
然后,就是一个流程的定制,当你利用权限系统在每个节点(假定流程由节点组成)的参与者和每个节点的模板和模板中的模块。要注意的是,参与者并不一定就是一个用户,其实它是一个规则,它说明了什么杨的用户可以参与这个节点,比如:某组织下具有某种身份或者权限的用户。这个规则你可以根据你具体的要求增减。
一旦权限系统和流程规则确定一个工作流系统基本就完成了。
以上是个人做工作流的经验。
J道中的文章以前看过的,现在不是权限规则的问题,具体的权限规则,我大体已经制定好了,只是说现在如何实现这种权限规则?即如何具体鉴权。
简单一点到页面,就是对页面的对应功能是否在session中的权限串中进行判定。如果需要具体到页面元素,只要对权限的结构进行设计既可。
一个角色拥有很多权限
就是先定义好workflow后,
根据用户登陆来判断权限而生成菜单,不过这样很笨
最好是用EJB里定义,我对EJB正在学习之中