带你读《Apache Tomcat的云原生演进》——Secure By Default Web Applications Apache Sling-Robert Munteanu(6)https://developer.aliyun.com/article/1377432
6.演示
这是我在演讲中提到的一个简单网站的实现,你可以在这里看到一个包含内容、图像、文本以及用户评论的页面。当然,我可以在这里评论一下,然后我的评论就出现了。其他一些功能包括用户个人资料页面,你可以看到用户的头像,全名,用户所属的组,还有一个技术细节,用户的路径。
在访问控制设置中,工作正在进行中。现在我已经登录了,我可以在应用程序中做任何事情,所以这个内容子树是所有用户可见内容的位置。
我们看一下访问规则,你可以看到每个人都可以阅读/content 下面的内容。而且用户组有能力添加评论,这很重要。我们往下看,可以看到只有那些被允许撰写的人,你可以看到写的东西,特别是在主页子树下的是作者,所以这暗示了一个以团体为基础的组织。
在 content 下面还有一个不同的子树,实际上没有人可以撰写。我们有几个读权限,还有用户组的权限,但这只适用于评论。
如果我们看用户,可以看到有两组,允许撰写文章的作者和只允许发表评论的用户。进入用户内部,我们可以看到他们有某些属性。
现在我导航到内容树,我们看一下访问控制,我们在这里看到只有鲍勃·琼斯拥有全部的特权。还有一种服务叫家庭阅读服务,稍后我们会讲到它可以读取用户主页里的任何东西。
另外值得注意的是,在用户的个人资料下面存储了一张图片,这个我们稍后会讲到。
现在,让我们试着在这个应用程序上练习几个请求。我们提到这个应用程序是 RESTful 的,Sling 是 RESTful 的,所以我们可以发送一个加载主页的请求,可以看到它以 JSON 格式返回所有属性。此外,如果我们添加一个称为选择器的部件,我们也可以做同样的事情。
所以,与其要回家。Json,我们要求回家,Json,其中还包括子资源,第一级子资源。我们当然可以对评论做同样的事情,有趣的是,我们可以用这种方式呈现HTML片段。事实上,这就是注释页面呈现的方式。
同样是 RESTful,我们可以发送几个参数,我们可以发送信息,Sling资源类型。我们之前讨论过这个,创建一个空的,Sling将为我们填充,然后我们试着以 John Doe 的身份发表评论,稍后我们将发现如何看到实际的注释。
有趣的是,如果我们这样做没有任何身份验证,这将失败。它失败不是因为我们写了一些定义代码,是因为我们设置了正确的访问控制设置,并且不需要检查应用程序代码中的任何内容。
总结一下评论,我们可以添加一个特殊的重定向参数,然后我们告诉它重定向到哪里。Apache Sling 在进行更改后,会将我们重定向到正确的页面,实际上是评论页面。这就是应用程序的实现方式,没有自定义代码。
现在如果我们想列出用户,这对我们来说是不可用的。我们会得到一个 404 响应,因为我们没有任何的访问权限,甚至没有经过用户列出它们。当然,admin 用户可以这样做,因为 admin 拥有所有权限。
但是用户可以做的是阅读自己的主页,这张是我单独拍的,因为它是一条不可不可预测的道路。但通过这种方式,用户可以访问他们自己的主页。
有趣的是,不需要任何认证,我们就可以读取头像。嵌套在用户节点下面,严格来说,我们不应该。作为提示,您可以看到这些地址并不指向用户的主页。我会给你展示这是怎么做的。
我要打开文本编辑器,你可能还记得我说过,讨论了存在于用户主页中的服务用户的权限,所以这些权限,此业务用户非交互用户,不能登录。你不能把它当作一个用户名,提供密码,然后登录并使用它做一些事情。相反,它只可以到应用程序代码。
带你读《Apache Tomcat的云原生演进》——Secure By Default Web Applications Apache Sling-Robert Munteanu(8)https://developer.aliyun.com/article/1377430