我正在开发一个JSF应用程序,归档文件(war)将提供给多个客户,并将分别部署在他们自己的Tomcat服务器上。这只是一个前端应用程序,它使用web服务与远程服务器通信。
在我的JSF应用程序中,一些选项卡和面板根据登录用户的ORG_ID和Roles有条件地呈现。所有这些限制都以el的形式写在.xhtml页面中:
<rich:tab header="Registration" rendered="#{permissionController.hasSuperRole()}"/>
由于此应用程序部署在客户内部,因此他们可以编辑.xhtml文件并删除这些限制。有没有一种方法来克服这个问题,通过加密xhtml文件,检查最后修改日期…?
这个问题完全与java jsf或(x)html无关。这是一个通用的问题,你永远不应该信任客户端(就像你永远不应该在一个web应用程序中,用户可以在浏览器中操纵html/javascript)
解决方案:只需在web服务中进行额外的授权。