Printemps groupe de sécurité en fonction de l'autorisation

j'ai l'intention de créer un groupe d'autorisation basé sur le schéma, mais je suis confus au sujet de ce qui suit:

j'ai quelques questions:

  1. Quelle est la meilleure approche User > Group > Roles > Permissions ou
    User > Roles > Permissions
  2. Comment mettre en œuvre la sécurité (login/se souvenir de moi) dans ce cas (besoin d'un lien pour un bon tutoriel).
  3. Niveau de la méthode de sécurité va utiliser l'annotation @PreAutorize hasPermission(#, '') ou hasRole ou quoi ?
  4. Comment vais-je cacher les composants (d'administration pour non admins) dans l'INTERFACE utilisateur selon les autorisations (UI est JSF) ?
  5. Si j'ai caché les composants dans la vision de ce que sera l'importance de la méthode de niveau de sécurité alors ?

OriginalL'auteur Mahmoud Saleh | 2011-10-10

  1. 8

    À la conception d'un modèle de sécurité n'est pas une simple tâche elle-même, et sans une connaissance approfondie du domaine que Vous essayez de les sécuriser, il est proche de l'impossible. Après avoir dit que tous les conseils que Vous pouvez obtenir ici sera comme général, comme le général à Votre question.

    1) Dans la plupart des applications de la User -> Roles est assez. En plus complexes de la User -> Roles -> Permissions pourrait être utilisé, mais tout dépend de la façon dont Vous pouvez définir la portée de chacun. Souvent finement les rôles et attribution d'un couple d'entre eux pour l'utilisateur, c'est juste ce dont Vous aurez besoin. Je dirais de mettre un autre niveau de l'ajout de Groups dans le milieu est un peu trop. L'imaginer comme un système de fichiers à plat les systèmes de fichiers existent et sont beaucoup moins compliqué qu'il y parait. Prenez Votre temps pour décider ce que c'est l'une des décisions les plus importantes et ont de nombreuses implications qui ne sont pas toujours faciles à prévoir.

    2) à L'authentification et à se souvenir de moi mécanismes sont déjà en place au Printemps de Sécurité - tout ce que Vous devez faire est de choisir l'application qui Vous convient le mieux et de le configurer à l'aide de la sécurité de l'espace de noms de soutien. Jetez un œil à Petclinic exemple l'application, ce qui tutoriel, si Vous ne l'avez pas déjà.

    3) Si Vous décidez sur l'utilisation des autorisations, Vous devez toujours vérifier les autorisations. Garder le niveau de gain que Vous avez choisi. Être cohérent. Toujours.

    4) Selon le point de vue de la technologie que Vous utilisez, le JSP taglib peut venir dans maniable (comme mentionné par Ralph). Il n'est pas telle chose pour JSF - mais il est relativement simple d'écrire quelque chose de semblable.

    5) Que Ralph a dit, si Vous cachez quelque chose, il ne signifie pas qu'il n'existe plus - il peut encore être appelé par un utilisateur non privilégié.

    Une très bonne réponse qui devrait obtenir beaucoup plus upvotes que des tonnes de "overvoted".

    OriginalL'auteur Roadrunner

  2. 3

    Printemps de Sécurité 4-INSTANTANÉ

    Autorité Groupes

    http://docs.spring.io/autorepo/docs/spring-security/4.0.0.CI-SNAPSHOT/reference/htmlsingle/#authority-groups

    Une approche alternative consiste à partitionner les autorités en groupes et attribuer à
    les groupes de l'utilisateur.

    OriginalL'auteur sura2k

  3. 1

    5) Même si vous masquez une fonction dans l'interface graphique, un malin utilisateur peut envoyer un faux requête HTTP qui appelle votre fonction.

    4) JSP il y a le printemps de sécurité tag lib, peut-être il ya quelque chose de similaire pour JSF

    3) Dépend de la mise en œuvre de Rôle - attribution d'Autorisation

    2) l'Authentification se souvenir de moi " est indépendant de l'utilisation de groupes ou non.

    1) Dépend de vos besoins. Les groupes de rendre plus difficile, donc je voudrais commencer par l'Utilisateur sur le Rôle de l'Autorisation et permettrait d'ajouter des groupes de retard quand j'ai vraiment besoin d'elle. -- Vient le printemps, avec la sortie de la boîte de solution pour affecter des Utilisateurs à Privilèges. Ajout de Rôles est facile. Mais si vous commencez avec des Groupes que vous avez à mettre en œuvre par votre propre.

    Je recommande fortement de lire le Printemps-Sécurité-Docs.
    Soit vous le faites dans le ressort de sécurité recommandé: "Étapes suggérées pour la mise en route avec Ressort de Sécurité" ou alors vous lisez le (très bon) livre "Printemps De Sécurité 3" (écrit par quelques-uns des auteurs de l'encadrement).

    Si vous suivez le tutoriel que vous trouverez comment faire un simple login se souvenir de moi.

    Diffèrent les rôles et les pouvoirs, vous avez deux choix.

    • Il y a une solution intégrée au printemps 3 (vous avez à la recherche pour votre un - je ne pas l'utiliser).
    • Vous pouvez implémenter votre propre fournisseur d'autorisation qui ajoute les autorités par le déjà affectés à des rôles.
    merci pour votre réponse, mais j'ai vraiment besoin un peu plus de détails sur les points suivants 3 - je suppose que la méthode telle addUser ou deleteUser effectuer une action spécifique de sorte qu'il ne nécessite plus que l'autorisation de vérifier, non ? 2 - s'il vous plaît me donner un bon lien pour la mise en œuvre de l'authentification et de se souvenir de moi 1 - ce qui est si mauvais avec des groupes, et quels sont les avantages de celui-ci sur les rôles, les sens pourquoi devrais-je l'utiliser ? merci à l'avance.
    Je ne veux pas être impoli, mais la sécurité est un thème qui vous avez vraiment besoin de comprendre. Donc je vous recommande fortement de lire un peu plus sur le Printemps de Sécurité.
    vous êtes très à droite, j'ai besoin d'en lire plus, c'est pourquoi j'ai demandé un bon tutoriel, merci beaucoup.
    Il existe de nombreux tutoriels. Certains ont été mentionnés dans ce fil. Les nouveaux livres pour le Printemps de sécurité sont. Manning de presse a une que vous pouvez télécharger et de commencer à pratiquer de quelques minutes. Utilisez votre moteur de recherche préféré - printemps des groupes de sécurité de code d'authentification " serait utile pour faire de la recherche.

    OriginalL'auteur Ralph