*Curl ORB for Java version 0.6 がリリースされました。リリースノートはこちら。

Curl ORBは、クライアントからアクセスできるサービスクラスを制限するすることができます。これには、サーバのcurl-config.xmlにて設定することで制限できます。（WEB-INF/curl-config.xml）

クラスを制限する場合、allowタグのclass属性に指定します。この際、前方一致として*（アスタリスク）も利用することができます。以下がサンプルとなります。（tests1.で始まるもの、tests2.Foo、com.curlap.orb.generator.*のアクセスを許すという意味）

<curl-config>   <access-control-list>    <allow class=”com.tests1.*” />    <allow class=”com.tests2.Foo” />    <allow class=”com.curlap.orb.generator.*” />   </access-control-list> </curl-config>

注意）
　コード生成をする場合、com.curlap.orb.generator.*を設定する必要があります。

また、DIコンテナを利用する場合、クラス名ではなく、Spring frameworkはbean idを、Seasar2を利用する場合は、component nameを指定する必要があります。以下がサンプルとなります。 

<curl-config>   <access-control-list>    <allow class=”foo1″ />    <allow class=”hoge1″ />  </access-control-list> </curl-config>

TIPS）
　すべてを許容する場合は、<allow class=”*”>にするか、もしくは<access-control-list />タグを記述しないでください。