如何將文件的訪問權限授予僅一個用戶

Question

我遇到了問題，如何解決JavaEE 6（Webprofile）中的這種情況。

我有一羣具有特定角色的用戶，他們可以觸發圖像的生成。對這些圖像的訪問受限於角色（超級用戶）。

問題是，具有「超級用戶」角色的用戶具有訪問由該角色的其他用戶生成的圖像的潛在權利。

文件名是隨機生成的，圖片在短時間後被刪除。但圖像包含敏感數據，所以我想盡可能限制對它的訪問。

有沒有辦法將創建它的用戶限制只能訪問圖像/文件？

web.xml中，迄今，只有角色限制訪問的圖像的文件夾：

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>Images</web-resource-name> 
     <url-pattern>/images/*</url-pattern> 
    </web-resource-collection> 
    <auth-constraint> 
     <role-name>Superuser</role-name> 
    </auth-constraint> 
    </security-constraint> 

在此先感謝。

Answer 1

添加一個Servlet過濾器，用於在提供文件之前檢查哪個用戶已登錄。
在該過濾器中，您還應該檢查目標（哪個文件），檢查文件的所有者，然後檢查當前用戶是否與所有者匹配。
更多關於這裏的過濾器：http://www.oracle.com/technetwork/java/filters-137243.html
另一個有用的資源：http://docs.oracle.com/cd/B14099_19/web.1012/b14017/filters.htm