[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [sdx-users] Ne pas passer par plusieurs bases de documents
|
From: |
Malo Pichot |
|
Subject: |
Re: [sdx-users] Ne pas passer par plusieurs bases de documents |
|
Date: |
Tue, 07 Mar 2006 07:43:00 -0000 |
|
User-agent: |
Thunderbird 1.5 (X11/20051201) |
Bonjour,
Un petite remarque sur la question de la sécurité de l'information dans
SDX. Une bonne manière de faire est d'utiliser Cocoon et la puissance de
son Sitemap. Les actions Cocoon y font très bien ce travail.
Jos Snellings a écrit :
<snip />
1. regardez:
http://serveur/sdx/sdx/api-url/get?app=votre.application&base=lagrandebase&id=lddudoc
<http://serveur/sdx/sdx/api-url/get?app=votre.application&base=lagrandebase&id=lddudoc>
voilà, tout le monde obtient le document source en format XML,
lisible par un simple browser
Ici, on peut inclure le pipeline "api-url/*" dans une action Cocoon qui
contrôle par exemple l'identité de l'utilisateur :
<map:act type="xsp" src="controleIdentite.xsp">
<map:match pattern="api-url/getatt**">
[...]
</map:match>
</map:act>
2. regardez: http://serveur/sdx/application/voir.xsp2sdx?id=Iddudoc
et voilà, encore la même info.
Les pipelines *.xsp2sdx sont là pour faciliter la prise en main de SDX
et le travail du développeur. Je ne pense pas que cela soit une bonne
pratique de laisser de tels pipelines après installation.
Si on souhaite tout de même les laisser, on peut utiliser ce qui se fait
dans SDXTest : une action Java permet de donner l'accès aux *.xsp2sdx
aux seuls administrateurs :
<map:act type="isAdmin">
<map:match pattern="*.xsp2sdx">
[...]
</map:match>
</map:act>
--
Malo