/api/jsonws 提供的 Liferay JSON Web 服务对任何用户开放访问

Posted 2023-03-22

【中文标题】/api/jsonws 提供的 Liferay JSON Web 服务对任何用户开放访问

【英文标题】：Liferay JSON Web Services available at /api/jsonws is open access for any user

【发布时间】：2020-06-20 01:51:04

【问题描述】：

在 Liferay 6.2 上，JSON Web 服务通过http://example.com/api/jsonws 开放访问。我知道我可以通过portal-ext.properties 限制对某些特殊IP 的访问。但我想将此权限授予Administrators 以查看此页面。 Liferay document 说

Liferay 的用户权限层是远程调用服务时触发的最后一个 Liferay 安全层。

但是我在portal.properties 和Control Panel/Roles 都找不到任何东西来为Administrators 设置这样的权限以防止其他人看到http://example.com/api/jsonws。

【问题讨论】：

已解决：liferay.dev/forums/-/message_boards/message/118691482 - 请在各个方向链接您的交叉帖子，以免产生重复的工作

抱歉给您带来不便。谢谢你提到这一点。我在答案中重复了您的评论和the post in Liferay forum 的摘要，以提高可见性并防止重复工作。

【参考方案1】：

正如@Olaf Kock 在我的问题下评论的那样，在这里没有得到回答后，我在Liferay forum 中重复了我的问题。我在这里重复该线程的摘要：

在 Liferay 6.2 中，该页面不能使用权限来限制，除非我写了一个钩子。对于 Liferay 7.0+，这个post 很有帮助。最终，我在 portal-ext.properties 中使用了jsonws.servlet.hosts.allowed，并将对该页面的访问限制为某些安全 IP。