1

我有一个 Grails 应用程序,使用 spring-security 插件,部署在 Tomcat 上,前面有 Apache Httpd 服务器。我想在 httpd 服务器上部署一些执行一些文件操作的 php 脚本。这似乎很容易,但是我想知道是否可以限制对这些脚本的访问,以便只有在我的 Grails 应用程序中经过身份验证的客户端才能执行它们?

我只想限制对脚本的访问,但另一方面,由于性能原因,我不想将它们移动到 Groovy/Java [我不想为这些任务浪费 Tomcat 时间]。

编辑:php 脚本生成一个文件 [最多 1MB],然后将其传输到客户端。我已经阅读了这篇文章并考虑了从 tomcat 到 httpd 的反向代理,但是我担心它会对 Tomcat 产生影响。

4

2 回答 2

2

你可以用一点 mod_perl 来做到这一点。下面是一个示例解决方案,需要稍微调整一下,以便它只捕获您想要保护的 URL 而忽略其他所有内容。

下面的代码假定 Grails 服务器上的某个 URL 由 Spring Security 保护,并且该页面上唯一的内容是“允许”的工作。我使用了 URL http://mywebapp.com/some-secured-page.jsp

mod_perl 代码,在一个名为 MyModPerlFilter.pm 的文件中是这样的:

package MyModPerlFilter;

use strict;
use Apache2::RequestRec;
use Apache2::Connection;
use APR::Table;
use LWP::Simple;

use base qw(Apache2::Filter);

use Apache2::Const -compile => qw(REDIRECT DECLINED M_GET);

use constant BUFF_LEN => 1024;

sub handler : FilterRequestHandler {
    my $r = shift;

    # check only GET requests for /*.php, ignore everything else
    if ($r->uri() =~ m|/.*\.php$| && $r->method_number == Apache2::Const::M_GET) {

        # grab Tomcat session ID from request
        my $jsessionid = $r->headers_in->{Cookie} =~ /JESSIONID=([^;\s]+)/ && $1;

        # fetch secure page with the Tomcat session ID
        my $res = get("http://mywebapp.com/some-secured-page.jsp;jsessionid=$jsessionid");

        # any response other than the word "ALLOWED" redirect to login form
        if ($res ne 'ALLOWED') {
            $r->headers_out->set("Location", "http://mywebapp.com/login.jsp");
            return Apache2::Const::REDIRECT;
        }
    }

    return Apache2::Const::DECLINED;
}

1;

如果请求是对匹配“/*.php”的 URL 的 GET,它将直接调用 Grails 服务器上的安全页面并验证它是否返回文本“ALLOWED”。如果对 Grails 页面的调用没有,则意味着用户未通过身份验证并将他们重定向到 Spring Security 登录页面。

唯一棘手的部分是从请求中获取会话 ID,并在您调用安全检查 URL 时将其包括在内。它假定会话 ID 存储在 cookie JSESSIONID 中,并且您的 Tomcat 设置为允许在 URL 中传递会话 ID。

Apache 设置需要安装 mod_perl,并且配置与此类似。

# location of the mod_perl handler (or use the default locations)
PerlSwitches -I/usr/local/somewhere

<VirtualHost *:80>
    ...

    SetHandler modperl
    PerlMapToStorageHandler MyModPerlFilter

    ...

    # any proxy related stuff here
    ProxyPass / http://127.0.0.1:8080/
    ProxyPassReverse / http://127.0.0.1:8080/
</VirtualHost>
于 2012-09-26T20:51:56.587 回答
0

他们将不得不共享一个会话。这需要相当多的工作,因为它们没有共同点。您必须编写 Java 代码才能与 Apache HTTPD 在其会话中使用的兼容。

于 2012-09-21T23:55:21.417 回答