全部产品
Search
文档中心

移动开发平台mPaaS:JSAPI 鉴权设置方法

更新时间:Jul 24, 2024

mPaaS 建议所有的 JSAPI 访问都需要添加访问控制,目前可以通过设置 provider 的方式添加访问控制。

  1. 设置自定义权限控制 provider。

    public class H5JSApiPermissionProviderImpl implements H5JSApiPermissionProvider {
        @Override
        public boolean hasDomainPermission(String jsapi, String url) {
            // 在该方法里,对所有url的jsapi请求进行校验,安全的url才可以放行,true表示jsapi可以调用,false表示不可以调用
            // 注意:以下代码仅供参考,请根据您实际的业务需要,对url和jsapi进行校验
            //  另外还需对 jsapi、url、uri 等参数进行判空操作,防止发生 Nullpointer 异常
            Uri uri = Uri.parse(url);
            String domain = uri.getHost();
            String scheme = uri.getScheme();
            if (!TextUtils.isEmpty(domain) && domain.equals("www.example.com") && "https".equals(scheme)) {
                return true;
            } else {
                return false;
            }
        }
    
        @Override
        public boolean hasThisPermission(String jsapi, String url) {
            // 默认返回 false 即可
            return false;
        }
    }
    重要

    URL 要进行精准匹配,至少要匹配到 URI 类的 scheme 和 host 信息,慎用或不用正则匹配,严格避免使用 contains、startsWith、endsWith、indexOf 等不精准函数。

  2. 在 mPaaS 初始化之后,调用容器之前,设置 provider。

    H5Utils.setProvider(H5JSApiPermissionProvider.class.getName(), new H5JSApiPermissionProviderImpl());