0

我在 Weblogic 12c 的安全配置中发现了一个问题,开发人员可以通过执行以下操作从生产中获取资源:

InitialContext ic = new InitialContext();
        Hashtable<String, String> h = new Hashtable<String, String>(7);
        h.put(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory");
        h.put(Context.PROVIDER_URL, "t3://ip_server:7003");

        InitialContext context = new InitialContext(h);
        DataSource dataSource = (javax.sql.DataSource) context.lookup("jdbc/name");

我想为这些远程查找设置密码,同时我不想影响在服务器中运行的本地应用程序并通过执行以下操作从服务器注入 jndi 资源:

InitialContext ic = new InitialContext();
Resource r = (Resource) ic.lookup("jndi/name");
4

1 回答 1

0

由于所有请求都通过 Weblogic 的安全提供程序运行,您可以实现自己的授权提供程序来限制这种访问。

oracle 关于开发自己的安全提供程序的文章:http: //docs.oracle.com/middleware/1213/wls/DEVSP/atz.htm#DEVSP301

于 2015-10-09T06:26:16.890 回答