Printemps groupe de sécurité en fonction de l'autorisation
j'ai l'intention de créer un groupe d'autorisation basé sur le schéma, mais je suis confus au sujet de ce qui suit:
j'ai quelques questions:
- Quelle est la meilleure approche
User > Group > Roles > Permissions
ou
User > Roles > Permissions
- Comment mettre en œuvre la sécurité (login/se souvenir de moi) dans ce cas (besoin d'un lien pour un bon tutoriel).
- Niveau de la méthode de sécurité va utiliser l'annotation
@PreAutorize hasPermission(#, '')
ou hasRole ou quoi ? - Comment vais-je cacher les composants (d'administration pour non admins) dans l'INTERFACE utilisateur selon les autorisations (UI est JSF) ?
- Si j'ai caché les composants dans la vision de ce que sera l'importance de la méthode de niveau de sécurité alors ?
OriginalL'auteur Mahmoud Saleh | 2011-10-10
Vous devez vous connecter pour publier un commentaire.
À la conception d'un modèle de sécurité n'est pas une simple tâche elle-même, et sans une connaissance approfondie du domaine que Vous essayez de les sécuriser, il est proche de l'impossible. Après avoir dit que tous les conseils que Vous pouvez obtenir ici sera comme général, comme le général à Votre question.
1) Dans la plupart des applications de la
User -> Roles
est assez. En plus complexes de laUser -> Roles -> Permissions
pourrait être utilisé, mais tout dépend de la façon dont Vous pouvez définir la portée de chacun. Souvent finement les rôles et attribution d'un couple d'entre eux pour l'utilisateur, c'est juste ce dont Vous aurez besoin. Je dirais de mettre un autre niveau de l'ajout deGroups
dans le milieu est un peu trop. L'imaginer comme un système de fichiers à plat les systèmes de fichiers existent et sont beaucoup moins compliqué qu'il y parait. Prenez Votre temps pour décider ce que c'est l'une des décisions les plus importantes et ont de nombreuses implications qui ne sont pas toujours faciles à prévoir.2) à L'authentification et à se souvenir de moi mécanismes sont déjà en place au Printemps de Sécurité - tout ce que Vous devez faire est de choisir l'application qui Vous convient le mieux et de le configurer à l'aide de la sécurité de l'espace de noms de soutien. Jetez un œil à Petclinic exemple l'application, ce qui tutoriel, si Vous ne l'avez pas déjà.
3) Si Vous décidez sur l'utilisation des autorisations, Vous devez toujours vérifier les autorisations. Garder le niveau de gain que Vous avez choisi. Être cohérent. Toujours.
4) Selon le point de vue de la technologie que Vous utilisez, le JSP taglib peut venir dans maniable (comme mentionné par Ralph). Il n'est pas telle chose pour JSF - mais il est relativement simple d'écrire quelque chose de semblable.
5) Que Ralph a dit, si Vous cachez quelque chose, il ne signifie pas qu'il n'existe plus - il peut encore être appelé par un utilisateur non privilégié.
OriginalL'auteur Roadrunner
Printemps de Sécurité 4-INSTANTANÉ
Autorité Groupes
http://docs.spring.io/autorepo/docs/spring-security/4.0.0.CI-SNAPSHOT/reference/htmlsingle/#authority-groups
Une approche alternative consiste à partitionner les autorités en groupes et attribuer à
les groupes de l'utilisateur.
OriginalL'auteur sura2k
5) Même si vous masquez une fonction dans l'interface graphique, un malin utilisateur peut envoyer un faux requête HTTP qui appelle votre fonction.
4) JSP il y a le printemps de sécurité tag lib, peut-être il ya quelque chose de similaire pour JSF
3) Dépend de la mise en œuvre de Rôle - attribution d'Autorisation
2) l'Authentification se souvenir de moi " est indépendant de l'utilisation de groupes ou non.
1) Dépend de vos besoins. Les groupes de rendre plus difficile, donc je voudrais commencer par l'Utilisateur sur le Rôle de l'Autorisation et permettrait d'ajouter des groupes de retard quand j'ai vraiment besoin d'elle. -- Vient le printemps, avec la sortie de la boîte de solution pour affecter des Utilisateurs à Privilèges. Ajout de Rôles est facile. Mais si vous commencez avec des Groupes que vous avez à mettre en œuvre par votre propre.
Je recommande fortement de lire le Printemps-Sécurité-Docs.
Soit vous le faites dans le ressort de sécurité recommandé: "Étapes suggérées pour la mise en route avec Ressort de Sécurité" ou alors vous lisez le (très bon) livre "Printemps De Sécurité 3" (écrit par quelques-uns des auteurs de l'encadrement).
Si vous suivez le tutoriel que vous trouverez comment faire un simple login se souvenir de moi.
Diffèrent les rôles et les pouvoirs, vous avez deux choix.
Je ne veux pas être impoli, mais la sécurité est un thème qui vous avez vraiment besoin de comprendre. Donc je vous recommande fortement de lire un peu plus sur le Printemps de Sécurité.
vous êtes très à droite, j'ai besoin d'en lire plus, c'est pourquoi j'ai demandé un bon tutoriel, merci beaucoup.
Il existe de nombreux tutoriels. Certains ont été mentionnés dans ce fil. Les nouveaux livres pour le Printemps de sécurité sont. Manning de presse a une que vous pouvez télécharger et de commencer à pratiquer de quelques minutes. Utilisez votre moteur de recherche préféré - printemps des groupes de sécurité de code d'authentification " serait utile pour faire de la recherche.
OriginalL'auteur Ralph