在Spring3MVCWeb应用程序中实现授权/访问控制的最佳方式是什么?
朋友们 我将使用Spring3MVC作为web框架,HibernateAnnotations作为ORM框架来开发一个web应用程序。然而,我面临一个问题,就是如何为这个应用程序设计一个好的基于数据库的访问控制。在我的工作中,我们习惯于这样设计:在Spring3MVCWeb应用程序中实现授权/访问控制的最佳方式是什么?,spring,model-view-controller,spring-security,access-control,spring-annotations,Spring,Model View Controller,Spring Security,Access Control,Spring Annotations,朋友们 我将使用Spring3MVC作为web框架,HibernateAnnotations作为ORM框架来开发一个web应用程序。然而,我面临一个问题,就是如何为这个应用程序设计一个好的基于数据库的访问控制。在我的工作中,我们习惯于这样设计: (CompanyName)User.java-表示系统中的用户的类 Profile.java-一个类,表示系统中与(CompanyName)用户有N-N关系的角色。对于角色,我指的是一个用户组,如(管理员、匿名用户、客户服务用户等) UserProfi
- (CompanyName)User.java-表示系统中的用户的类
- Profile.java-一个类,表示系统中与(CompanyName)用户有N-N关系的角色。对于角色,我指的是一个用户组,如(管理员、匿名用户、客户服务用户等)
- UserProfile.java-表示用户和配置文件之间关系的类。它表示数据库中N-N关系的联接表
- Module.java-在web应用程序中表示模块的类。每个模块由无限功能组成,但每个功能只能与一个模块相关。例如,用户身份验证功能将与安全或身份验证模块相关。模块是应用程序中标记为@Controller的控制器
- Feature.java-表示应用程序中的功能的类。每个特征由一个或多个操作组成。例如,用户管理是一项功能。因此,它由许多操作组成(例如创建、读取、更新和删除用户)。此外,功能还有一个表示该功能URL的入口URL(用于在单击按钮/链接时将用户重定向到该功能)。每个URL都映射到模块(控制器)中的一个方法
- Operation.java-表示web应用程序中的操作的类。操作基本上是单个/基本操作,例如注册用户或删除用户,但不一定是CRUD操作。每个操作都有一个条目URL(显示开始操作的页面的URL)。例如,对于用户注册操作,条目URL将是/webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(注册用户)。但是一个操作可能需要一个页面流来完成。例如,用户注册操作可能需要一个带有注册表单的页面,一个URL(通常映射到方法)作为提交表单的操作,以及一个成功/错误页面,以显示成功/错误消息
- Permission.java-表示系统中URL的类。每个权限都与一个或多个操作(Operation.java)相关,以组成页面流。例如:用户注册操作可能具有以下URL/权限:
- /webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(用户注册)/register-映射到(CompanyNameUser)控制器中方法的URL,用于提交表单(表单操作)并保存在通常调用(CompanyNameUser)DAO的数据库中
- /webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(注册用户)/success/-映射到控制器中的方法以显示成功消息的URL
- /webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(注册用户)/error/-映射到控制器中的方法以显示错误消息的URL
- ProfilePermission.java-表示配置文件和权限之间N-N关系的联接表的类
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">`<display-name>cheapig</display-name>
<!-- ROOT CONTEXT DEFINITIONS -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring/root-context.xml</param-value>
</context-param>`
<listener>
<listener- class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!-- The filter to implement my access control -->
<filter>
<filter-name>securityFilter</filter-name>
<filter-class>org.cheapig.security.SecurityFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>/**</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>cheapig</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet- class> <init-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring/cheapig/servlet-context.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>cheapig</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping></web-app>
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-3.1.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx-3.1.xsd
http://www.springframework.org/schema/aop
http://www.springframework.org/schema/aop/spring-aop-3.1.xsd">
<!-- Root Context: defines shared resources visible to all other web components -->
<bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<property name="basename" value="classpath:messages" />
<property name="defaultEncoding" value="latin1"/>
</bean>
<bean id="localeChangeInterceptor"
class="org.springframework.web.servlet.i18n.LocaleChangeInterceptor">
<property name="paramName" value="lang" />
</bean>
<bean id="localeResolver"
class="org.springframework.web.servlet.i18n.CookieLocaleResolver">
<property name="defaultLocale" value="pt"/>
</bean>
<bean id="handlerMapping"
class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">
<property name="interceptors">
<ref bean="localeChangeInterceptor" />
</property>
</bean></beans>
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/mvc"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-3.1.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd">
<!-- DispatcherServlet Context: defines this servlet's request-processing infrastructure -->
<!-- Enables the Spring MVC @Controller programming model -->
<annotation-driven />
<!-- Handles HTTP GET requests for /resources/** by efficiently serving up static resources in the ${webappRoot}/resources directory -->
<resources mapping="/resources/**" location="/resources/" />
<!-- Imports user-defined @Controller beans that process client requests -->
<beans:import resource="controllers.xml" />
<beans:import resource="hibernateMySQL5.xml"/>
<context:component-scan base-package="br.com.cheapig" />
</beans:beans>
package br.com.cheapig.security;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
public class SecurityFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// TODO Auto-generated method stub
chain.doFilter(request, response);
}
@Override
public void destroy() {
// TODO Auto-generated method stub
}
}
那么,我该怎么办?我应该使用Spring Security吗?有没有办法用Spring Security实现我自己的定制流程?我应该在处理程序映射中使用拦截器而不是过滤器吗?如有任何帮助/建议,我将不胜感激
提前谢谢 看一看。它可能更适合您的需求。这是一个非常晚的响应,但这是为子孙后代准备的 我同意ApacheShiro是一个值得一看的好地方。然而,另外,我建议你退一步,看看你问题背后的理论。本质上,您试图实现的是一个基于角色的访问控制模型,其中包含用户、组、角色和权限。此外,通过阅读您的问题,听起来您在请求访问的用户和目标资源之间有关系 考虑到这一点,您需要的是ABAC——基于属性的访问控制——正如NIST在2014年早些时候发布的报告中所定义的那样。你可以 有了ABAC,你可以用属性来描述你的用户——任何属性——比如角色、位置、年龄、国籍。。。同样,您可以描述