个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
27
4
我有一个有点单一的 Java 应用程序,它围绕我的业务服务层的 Spring @Service beans 构建。通常,我的每个业务服务方法都有 Spring Security 注释(例如 @PreAuthorize)来为该操作执行适当的授权规则。
在主要的 web 应用程序流程中,这工作得很好;每个 Web 请求都隐含地由 session cookie 等处理身份验证。
但是,当涉及到与其他“内部”系统的各种集成点时,我看不出一个明确的解决方案。
例如,我将使用 JMS 队列中的方法,该队列已经在代理中定义了自己的身份验证和授权规则,因此我想隐式地“信任”我收到的消息。然而,就目前情况而言,像这样的足够简单的 Camel 路线:
WidgetService widgetService = lookup(WidgetService.class);
from("activemq:newWidget")
.unmarshall(...)
.bean(widgetService, "newWidget");
最终抛出一个 AuthenticationCredentialsNotFoundException。
这告诉我 Camel 正确地调用了我的 bean,应用了 Spring 的所有神奇 AOP。
对于此类其他事情,我已经在系统的入口点周围应用 AOP 建议(例如,围绕 Quartz Job 的 execute 方法) ,它会注入(inject)一个 PreAuthenticatedAuthenticationToken,但我不确定这是否真的是最好的方法。
我应该继续将这些“受信任”的入口点包装在建议中以添加身份验证上下文,还是应该更改我的服务层以具有某些不需要身份验证的业务方法的特殊形式,并确保我清楚地记录它们不是用于网络 @Controller 方法等吗?
最佳答案
不幸的是,有最好的方法来做到这一点。这取决于应用程序,根据我的经验,所有解决方案都有效,但有一些缺点。
第一个解决方案是将@PreAuthorize 移至网络级别。这样您就可以在内部随心所欲地自由使用您的服务。我认为这是更简单的解决方案,更容易理解。您想保护您的网络用户吗?为什么不在 web 层中应用安全性。它的问题是 Web 层比业务层更频繁地更改,如果您不仔细开发 Controller 和端点,则更容易留下安全漏洞。对于大多数应用程序,我仍然会采用这种方法,让服务层只处理业务规则而不是安全性(这也是一种业务规则?)。当然,您仍然可以将一些默认的安全逻辑添加到 Controller 组和其他东西中,这样您就不必在任何地方重复自己。
第二种方法是您采用的方法。在您生成的经过身份验证的上下文中运行此类方法。这有点反逻辑——为什么在没有经过身份验证的用户时在经过身份验证的上下文中运行?你不应该这样做,但不幸的是,如果你想获得安全的服务,这是唯一的方法。这种方法不太容易出现安全错误,您可以更轻松地维护安全性。如果您坚持这样做,您可以使用模板模式或创建一些在上下文中运行内容的执行程序类。
我想不出第三种方法:)
关于java - 为 JMS 监听器处理 Spring Security 的首选方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51507661/
27
4
0
有谁知道如何使 DIV 的行为方式使其始终尝试占用其最大空间(无论内容如何)? 例如,如果我有一个 max-height 的 DIV的 600px和一个 min-height的 200px ,我怎样才
考虑两个表表A和表B 表A |id|driver_id|vehicle_id|is_allowed|license_number|driver_name| 表B |id|driver_id|vehic
对于 ASP.NET 应用程序,自定义脏话删除器/替换器的最佳实践实现方法是什么? 如果这是一个数据表解决方案,是否有免费的资源来获取数据? (类似于找到可以导入到系统中进行拼写检查的公共(publi
有很多 jquery 工具提示插件。 我应该使用哪一个?为什么? 最佳答案 我们使用过qTip在我们的一个项目中,因为它符合我们的所有要求,开发和维护良好,附带优秀的文档和已经很漂亮的模板,并且还为我
我在Internet上四处张望,找不到相关信息。我的程序需要向PowerShell配置文件中编写一些PowerShell代码。如果没有配置文件,我的程序将创建一个。问题是应使用哪种编码来创建Power
在 D、int、uint 中使用 foreach 时,循环索引的首选类型是什么?或者只是通过省略类型自动实现? 最佳答案 一般来说,索引应该是size_t。与长度相同。如果您尝试使用 int 或 ui
这个问题在这里已经有了答案: Repeat each row of data.frame the number of times specified in a column (9 个回答) 2年前关闭
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。 我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题,以便
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
我有一个看起来像这样的字符串: "Element 1 | Element 2| Element 3: element 4" 我想对冒号后面的源字符串部分进行子串(到源字符串的末尾),但如果没有冒号,那
我接受任何解释语言 Perl、Python、Bash 等。但我更喜欢 Perl,因为它是我想要学习的。我有一个时间戳列表,例如: 17:31:16 17:31:16 17:31:18 17:31:29
我想在后台运行程序。首选 C#我想把图标放在托盘里。在指定的时间同步文件夹(我知道如何同步文件夹)。如何在后台运行它并开始同步(例如凌晨 2 点)? 最佳答案 您需要考虑使用 windows sche
我有一个 onChange 事件处理程序,它的结构如下: (e) => (value => this.setState(prevState => ({ form: {
我想在windows 7中捕获删除操作。如果用户从计算机上删除了文件,我需要在文件被删除时存储一条记录,以及删除了哪个文件。 一般文件操作,不针对特定文件夹或软件。所以假设用户从 d:\testFol
是否有任何库或开源函数可以近似通过以不规则间隔获取的一些值来描述的线下的面积? 首选 Action Script,但 Java 也可以正常工作。 最佳答案 您可以使用as3mathlib数学图书馆。这
对于我的网络应用程序,我希望提供给用户的图像具有响应性。此外,我还想在图像标签中指定 width 和 height 属性,这样在移动连接速度较慢的情况下,就不会出现浏览器重排。 是否可以通过使用纯 H
在展示公司 Logo 时,我今天看到了一些新东西。 他们在 h1 标签上设置了高度和宽度以及 overflow:hidden 并在 h1 标签内的 a 标签上设置了负边距以防止文本显示。 代码是这样的
我使用 Lucene 库开发了一个索引和搜索应用程序。但是这个库在我的上下文中在自定义排名方面有一些限制,除了它的性能之外,我需要可扩展性和访问各种词频等。是否有任何强大的开源全文库可用? 最佳答案
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
这是一个关于当我需要在列表中查找对象实例时如何实现 equals 方法的问题,该实例的值是我在其成员中拥有的实例之一。 我有一个实现了 equals 的对象: class User { pri
我是一名优秀的程序员,十分优秀!