我正在开发一个JSF应用程序,归档(war)将提供给多个客户,并将单独部署在他们自己的Tomcat服务器上。这只是一个前端应用程序,它使用Web服务与远程服务器进行通信。
在我的JSF应用程序中,根据登录用户的ORG_ID和Roles有条件地呈现某些选项卡和面板。所有这些限制都在.xhtml个页面中写为EL:
<rich:tab header="Registration" rendered="#{permissionController.hasSuperRole()}"/>
由于此应用程序部署在客户端,因此他们可以编辑.xhtml文件并删除这些限制。有没有办法通过加密xhtml文件,检查上次修改日期来解决这个问题......?
答案 0 :(得分:0)
此问题与java jsf或(x)html完全无关。这是一个普遍的问题,你永远不应该信任客户端(就像你从来没有应该在例如用户可以在浏览器中操作html / javascript的web应用程序)
解决方案:只需在网络服务中执行其他授权即可。