<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Dec 3, 2016 at 1:22 PM, David M. Lloyd <span dir="ltr">&lt;<a href="mailto:david.lloyd@redhat.com" target="_blank">david.lloyd@redhat.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I think this is a smart idea.  I must ask though, why can I not start a<br>
batch job from another deployment?  Is it just a design limitation?<br></blockquote><div><br></div><div>To start a job you need access to the job XML file and the CDI beans for the deployment. However there is no limitation on the other operations.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Usually we&#39;d want to restrict access to things not by deployment (which<br>
is a somewhat fluid concept) but by identity and authorization permissions.<br></blockquote><div><br></div><div>I&#39;m going to be adding permissions too for each operation. My plan was to have a start, stop, restart, abandon and read permission for each operation. This proposal is more just not allowing A.war to stop a job from B.war if the two deployments are not setup as dependent on each other.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div class="h5"><br>
On 12/02/2016 07:09 PM, James Perkins wrote:<br>
&gt; Currently a deployment can view, stop, restart or abandon any batch job<br>
&gt; that has been submitted or has been executed that exists in the job<br>
&gt; repository. This includes batch jobs from other deployments if the job<br>
&gt; repository is shared, which is the default. I cannot however start a<br>
&gt; batch job from another deployment.<br>
&gt;<br>
&gt; I&#39;m proposing we limit visibility so that a deployment can only access<br>
&gt; jobs which belong to that deployment.<br>
&gt;<br>
&gt; I&#39;d like to get some opinions on this.<br>
&gt;<br>
&gt; There are some, possibly unacceptable, repercussions. For example if a<br>
&gt; user has a deployment that displays information about batch jobs for all<br>
&gt; deployments this change would break that. However it does seem wrong to<br>
&gt; allow any deployment using a shared repository to stop, start or abandon<br>
&gt; a job from a different deployment.<br>
&gt;<br>
&gt; One, probably more complicated, option would be to have an attribute on<br>
&gt; the job-repository to allow jobs to be visible to any deployment with<br>
&gt; access to the job-repository.<br>
&gt;<br>
&gt; --<br>
&gt; James R. Perkins<br>
&gt; JBoss by Red Hat<br>
&gt;<br>
&gt;<br>
</div></div>&gt; ______________________________<wbr>_________________<br>
&gt; wildfly-dev mailing list<br>
&gt; <a href="mailto:wildfly-dev@lists.jboss.org">wildfly-dev@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/<wbr>mailman/listinfo/wildfly-dev</a><br>
&gt;<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
- DML<br>
______________________________<wbr>_________________<br>
wildfly-dev mailing list<br>
<a href="mailto:wildfly-dev@lists.jboss.org">wildfly-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/wildfly-dev" rel="noreferrer" target="_blank">https://lists.jboss.org/<wbr>mailman/listinfo/wildfly-dev</a><br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>James R. Perkins</div><div>JBoss by Red Hat</div></div></div></div></div>
</div></div>