我有一个GWT应用程序,它使用Activities and Places模式在应用程序中导航抛出不同的位置。在应用程序中,有一些地方只有授权用户才能查看。
授权机制如下:
1-用户输入用户名+密码
2-使用提供的密码检查服务器是否存在该用户。
3-在数据存储中添加包含SID、用户名和过期日期的令牌(我使用的是GAE bwt)
4-将令牌发送到客户端。
现在,在我允许用户前往地点之前,我应该检查他/她是否被授权,通过检查他/她的令牌是否有效,即之前通过授权操作保存在商店中。我最终得到了一些像这样的ActivityMapper。
public class ApplicationActivityMapper implements ActivityMapper {
private ActionDispatcherServiceAsync service;
private SecurityTokenProvider provider;
private HashMap<Class<? extends Place>, ActivityPlaceMeta> placesActivitiesMap;
@Inject
public ApplicationActivityMapper(ActionDispatcherServiceAsync service, SecurityTokenProvider provider, HashMap<Class<? extends Place>, ActivityPlaceMeta> placesActivitiesMap) {
this.service = service;
this.provider = provider;
this.placesActivitiesMap = placesActivitiesMap;
this.placesActivitiesMap.put(PlaceNotFoundPlace.class, new ActivityPlaceMeta() {
@Override
public Activity getActivity(Place place) {
return new PlaceNotFoundActivity();
}
});
}
@Override
public Activity getActivity(Place place) {
if (place instanceof SecuredPlace) {
Token token = provider.getToken();
service.dispatch(new CheckAuthorizationAction(token), new GotResponse<CheckAuthorizationResponse>() {
@Override
public void gotResponse(CheckAuthorizationResponse result) {
if (result.isAuthorized()) {
//here comes tht problem .... !!!
//how to return the place ???
}
}
});
}
ActivityPlaceMeta returnedActivity = placesActivitiesMap.get(place.getClass());
if (returnedActivity == null) {
return placesActivitiesMap.get(PlaceNotFoundPlace.class).getActivity(new PlaceNotFoundPlace());
}
return returnedActivity.getActivity(place);
}
}
还有其他想法吗?提前感谢。
GWT应用程序不是为了保护UI的一部分,而是为了保护提供特定位置所需数据的服务器端。
如果某个用户去了一个需要登录的地方,只需让远程服务无法提供任何数据。然后,您的演示者应该处理故障,并可能重定向到登录位置。
当然,如果用户没有登录,您可能希望限制客户端中的导航,并且您可以这样做,例如在活动映射器中。
在FilteredActivityMapper中包装主ActivityMapper。然后,在提供给其构造函数的Filter中,实现身份验证/授权检查,并在没有用户登录的情况下返回例如LoginFormPlace。