- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在开发一个必须执行对象级安全检查的应用程序,并且检查将由服务进行,因为它需要对单独的应用程序进行 REST 调用。因此,我无法使用 Spring Security 角色或 ACL,因为这些信息都不会本地存储在应用程序中。我正在尝试找到一种优雅的方法来处理这个问题,以下是我能想到的两个选项:
1) 创建将检查权限的自定义注释
2)扩展 Spring 安全注释权限检查(可能使用权限评估器?),让我编写检查访问的逻辑
对于#1,我创建了一个自定义注释,并使用过滤器来读取注释并检查访问权限,尽管这似乎更脆弱,并且只会为我提供对 Controller 操作的保护,而且最好也保证安全还有其他服务。
我找到了一些信息,但没有完整的。
THIS讲的是自定义ACL,但只是为了一个新的权限,不控制逻辑
THIS谈论使用 SpEL,但我想在方法运行之前进行检查,以确保不会发生未经授权的影响。
THIS似乎是最接近我想要做的,但特定于 Spring Security 而不是 Grails - 我最大的挑战是将 applicationContext.xml 中的信息转换为 resources.groovy
预先感谢您提出的任何建议或建议!
最佳答案
您应该能够使用 spring security 和 grails 轻松完成此操作。
我过去使用以下两种方法来完成类似的任务。两者都需要 spring security ACL 插件,该插件提供 @PreAuthorize
和 @PostAuthorize
注释。
自定义权限评估器
您可以在安全注释中使用 hasPermission()
方法并创建自定义 PermissionEvaluator
。在代码中,它看起来像这样:
@PreAuthorize("hasPermission(#myObject, 'update')")
public void updateSomething(myObject) {
..
}
hasPermission()
调用由 spring security 路由到 PermissionEvaluator
。要编写自己的实现,您必须实现 PermissionEvaluator
接口(interface):
class MyPermissionEvaluator implements PermissionEvaluator {
@Override
public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
// your custom logic..
}
@Override
public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
// your custom logic
}
}
要注册您的PermissionEvaluator
,您必须重写名为expressionHandler
的bean。您可以通过在 conf/spring/resources.groovy
中添加以下行来完成此操作:
beans = {
expressionHandler(MyExpressionHandler) {
parameterNameDiscoverer = ref('parameterNameDiscoverer')
permissionEvaluator = ref('myPermissionEvaluator') // your PermissionEvaluator
roleHierarchy = ref('roleHierarchy')
trustResolver = ref('authenticationTrustResolver')
}
myPermissionEvaluator(MyPermissionEvaluator)
}
在resources.groovy
中,您可以定义bean,就像使用spring时在applicationContext.xml
中所做的那样。上面几行创建了一个 MyPermissionEvaluator
类型的 bean,其名称为 myPermissionEvaluator
。 Spring Securities expressionHandler
bean 被类型为 MyExpressionHandler
的 bean 覆盖。其他依赖项是从spring security ACL插件的配置文件中复制的。
安全注释中的服务调用
如果 hasPermission()
方法的设计不能满足您的所有要求,您可以使用简单的服务调用。 @PostAuthorize
和 @PreAuthorize
注释使用 SPEL 来计算表达式。在 SPEL 中,您可以使用 @
符号来访问 bean。例如:
@PreAuthorize("@securityService.canAccess(#myObject)")
public void doSomething(myObject) {
..
}
这会调用名为 securityService
的 bean 的 canAccess
方法,并将方法参数传递给它。
要使用此方法,您必须注册 BeanResolver上EvaluationContext 。为此,您必须覆盖 DefaultMethodSecurityExpressionHandler这是由 spring security ACL 插件配置的。
这可能如下所示:
class MyExpressionHandler extends DefaultMethodSecurityExpressionHandler {
BeanResolver beanResolver
@Override
public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) {
StandardEvaluationContext ctx = (StandardEvaluationContext) super.createEvaluationContext(auth, mi)
ctx.setBeanResolver(beanResolver) // set BeanResolver here
return ctx;
}
}
BeanResolver
是一个简单的接口(interface),它将 bean 名称解析为 bean 实例:
class GrailsBeanResolver implements BeanResolver {
GrailsApplication grailsApplication
@Override
public Object resolve(EvaluationContext evaluationContext, String beanName) throws AccessException {
return grailsApplication.mainContext.getBean(beanName)
}
}
最后将 bean 添加到 resources.groovy
中:
expressionHandler(MyExpressionHandler) {
parameterNameDiscoverer = ref('parameterNameDiscoverer')
permissionEvaluator = ref('permissionEvaluator')
roleHierarchy = ref('roleHierarchy')
trustResolver = ref('authenticationTrustResolver')
beanResolver = ref('beanResolver') // this is your BeanResolver
}
// This is the service called within security expressions
// If you place your service in the grails service folder you can skip this line
securityService(MySecurityService)
// this is your BeanResolver
beanResolver(GrailsBeanResolver) {
grailsApplication = ref('grailsApplication')
}
更新(2013-10-22):最近我写了一篇blog post正是关于这一点,它提供了一些额外的信息。
关于Grails 自定义安全评估器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17789822/
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想改善这个问题吗?更新问题,以便将其作为on-topic
我们正在尝试使用 https://grails.org/plugin/jms用于 jms 集成。但我们无法解决它。 环顾四周,我能够验证它是否存在于这个 repo 中: http://repo.gra
我有许多集成测试在grails 3中失败(而在grails 2中通过),因为它无法解析导入: grails.test.MockUtils grails.test.Grails模拟 我找不到有关应如何迁
有没有办法在 Grails 站点上发生 Grails 错误时向自己发送详细信息? 设置它的最佳方法是什么?在一个地方? (试图保持干燥) 我想包括产生错误的 URL。 最佳答案 . 如果您打算捕获项目
我有一个 grails 应用程序,其中包含一些被序列化为 JSON 的域对象。在另一个 java/groovy 项目中,我想使用这些域对象。如果我发布一个插件,看起来只有其他 grails 应用程序可
我正在尝试为 Grails 编写一个插件,该插件将根据我们在遗留数据库中设计的特殊 View 自动生成我的域类。我基本上只是想节省一些时间手动编写使域类工作所需的所有映射内容。 我是否可以从自定义 A
我正在尝试编写一个可以在多个 Grails 应用程序中重用的插件。该插件基本上应该是 spring security core 的包装器和 ldap 插件。 这意味着它应该包含: 用户/角色的域类 S
我有一个应用程序,我在其中使用 Spring Security 和 grails 旋律。我计划在生产环境中运行 grails melody,但不希望访问者访问它。我应该如何做到这一点?我尝试在 gra
我只是继承了一个现有的应用程序,而我注意到的第一件事是我必须在每个“grails run-app”之前进行“grails clean”操作,否则会出错。创建该项目的人说,他们还有其他几个具有类似设置的
我有一个自定义 toString我的枚举中的方法: enum TaxRate implements Serializable { RATE23(23.0), ... priva
我正在创建一个 Grails 插件作为复杂产品的包装器。该产品对其他产品(如 hibernate)有很多依赖性。问题是,grails 有一些相同的依赖项,但版本不同。 例如。 Grails -> 休眠
当我掉进 grails 服务的兔子洞时,我目前正在将业务逻辑从 Controller 方法转移到服务。我的服务中有以下方法: Job closeJobOpportunity(Job op, Emplo
我只收到默认验证器消息。我究竟做错了什么? class Questao { static hasMany = [alternativas:Alternativa] static constraints
Closed. This question needs to be more focused 。它目前不接受答案。 想改善这个问题吗?更新问题,使其仅通过 editing this post 关注一个
特定版本的 Grails 支持多长时间?一般的 VMWare 支持策略似乎是支持当前版本和一个版本。我无法找到任何关于支持多长时间版本的 Grails 特定信息,通用 VMWare 策略是否适用? 最
我有一个通过 grails 交互模式运行的 grails 应用程序。此应用程序包含服务、tagLibs、gsps 等,但最重要的是它包含 src/groovy 文件夹中的 groovy 文件。 这些
LinkedIn 的人们一直在以一种有趣的方式使用 Play 来处理需要由许多不同组件组成的页面:http://engineering.linkedin.com/play/composable-and
我在 Grails 应用程序中使用 Servlet 3.0 异步渲染。我收到以下错误。 | Error 2014-04-29 11:10:24,125 [Actor Thread 28] ERROR
我看了Controller.groovy源代码,看起来 CRUD 操作不是事务性的(至少是明确的)。 如果我是对的,这是否意味着不应该在生产中按原样使用动态脚手架?有没有办法使它具有事务性(即我可以修
我如何基本上对字符串数据类型字段执行唯一约束。 class User{ String username String Email static hasMany = [roles:Roles
我是一名优秀的程序员,十分优秀!