前台调用方法
标准集成调用入口的标准调用方式为上文中介绍的后台调用方法。但有时客户也可能需要通过前台的方式使用集成调用入口进行产品功能调用。前台调用方式存在一定的安全隐患,如对参数的篡改等,因此建议用户通过前台方法调用时,自行评估和解决访问的安全性问题。
本产品向用户提供一种实现了安全机制的前台调用方法和对应示例供参考。
前台调用时存在参数被篡改的风险,本方法在前台调用时可使用后台生成的安全校验信息,调用时参与校验的参数值要与实际传递的参数值要一致,即前后台的参数是一致。这样如果用户修改了后台参与校验的参数就不能通过安全校验。此方法有效规避了前台调用的安全隐患。
前台调用方式的调用方法
Step1
引入提供前台调用方法的js:
mis2/security/js/ModuleEntry.js;
Step2
后台生成安全校验信息:
<%@ page import="com.runqianapp.security.entry.sec.Security"%>
<%
// 参数
Map<String, String> paramMap = new HashMap<String, String>();
paramMap.put("param1", "value1");
String secInfo = Security.generate(request, paramMap);
%>
Step3
通过js中提供的前台方法调用产品功能:
new ModuleEntry(parttenID, params, secInfo, target).enter();
方法参数说明:
- patternID 所需调用功能的模式ID,在产品中的配置文件【pattern.xml】有相应配置
- params 参数串,格式为param1=value1&...¶mN=valueN,或者JSON对象格式
- secInfo 安全校验信息,后台生成
- target 打开目标(新窗口、当前窗口、指定窗口等)
前台调用示例
下面是一个通过前台方法,在新窗口中调用产品的报表展现模块【通用报表展现页面SR】展现一张报表文件名为【test.raq】的报表的示例:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%@ page import="com.runqianapp.security.entry.sec.Security"%>
<%
// 参数
Map<String, String> paramMap = new HashMap<String, String>();
String file= "test.raq";
paramMap.put("file", file);
// file参数参与校验
// 生成安全校验信息
String secInfo = Security.generate(request, paramMap);
%>
<script type="text/javascript" src="<%=request.getContextPath() %>/mis2/security/js/ModuleEntry.js"></script>
<script type="text/javascript">
var params = {file: "<%=file%>", reportAlign : "center"};
// secInfo包含了file参数,而不包含reportAlign
new ModuleEntry("SR", params, "<%=secInfo %>", "_blank").enter();
</script>
注意:并不是所有参数都需要加入到安全校验,需要看各个功能调用入口的具体情况,参与校验的参数值要与实际传递的参数值要一致。如果参数(如上例中的file)是从后台Java得到的,赋值给前台JS,前台JS用此参数发请求,需保证前后台的参数是一致的,这种参数可以加入校验。如果没有从后台传递的参数,secInfo可以传空值。