Weblogic远程安全

Posted 2023-02-16

【中文标题】Weblogic远程安全

【英文标题】：Weblogic remote Security

【发布时间】：2015-10-06 22:13:50

【问题描述】：

我在 Weblogic 12c 中的安全配置中发现了一个问题，开发人员可以通过以下方式从生产环境中获取资源：

InitialContext ic = new InitialContext();
        Hashtable<String, String> h = new Hashtable<String, String>(7);
        h.put(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory");
        h.put(Context.PROVIDER_URL, "t3://ip_server:7003");

        InitialContext context = new InitialContext(h);
        DataSource dataSource = (javax.sql.DataSource) context.lookup("jdbc/name");

我想为这些远程查找设置密码，同时我不想影响在服务器中运行的本地应用程序并通过以下方式从服务器注入 jndi 资源：

InitialContext ic = new InitialContext();
Resource r = (Resource) ic.lookup("jndi/name");

【参考方案1】：

由于所有请求都通过 Weblogic 的 Security Providers 运行，因此您可以实现自己的 Authorization Provider 来限制这种访问。

oracle 关于开发自己的安全提供商的文章：http://docs.oracle.com/middleware/1213/wls/DEVSP/atz.htm#DEVSP301