Fatal编程技术网
  • spring/
  • 在Spring3MVCWeb应用程序中实现授权/访问控制的最佳方式是什么?

在Spring3MVCWeb应用程序中实现授权/访问控制的最佳方式是什么?

spring model-view-controller spring-security

在Spring3MVCWeb应用程序中实现授权/访问控制的最佳方式是什么?,spring,model-view-controller,spring-security,access-control,spring-annotations,Spring,Model View Controller,Spring Security,Access Control,Spring Annotations,朋友们 我将使用Spring3MVC作为web框架,HibernateAnnotations作为ORM框架来开发一个web应用程序。然而,我面临一个问题,就是如何为这个应用程序设计一个好的基于数据库的访问控制。在我的工作中,我们习惯于这样设计: (CompanyName)User.java-表示系统中的用户的类 Profile.java-一个类,表示系统中与(CompanyName)用户有N-N关系的角色。对于角色,我指的是一个用户组,如(管理员、匿名用户、客户服务用户等) UserProfi

朋友们

我将使用Spring3MVC作为web框架,HibernateAnnotations作为ORM框架来开发一个web应用程序。然而,我面临一个问题,就是如何为这个应用程序设计一个好的基于数据库的访问控制。在我的工作中,我们习惯于这样设计:

  • (CompanyName)User.java-表示系统中的用户的类

  • Profile.java-一个类,表示系统中与(CompanyName)用户有N-N关系的角色。对于角色,我指的是一个用户组,如(管理员、匿名用户、客户服务用户等)

  • UserProfile.java-表示用户配置文件之间关系的类。它表示数据库中N-N关系的联接表

  • Module.java-在web应用程序中表示模块的类。每个模块由无限功能组成,但每个功能只能与一个模块相关。例如,用户身份验证功能将与安全身份验证模块相关。模块是应用程序中标记为@Controller的控制器

  • Feature.java-表示应用程序中的功能的类。每个特征由一个或多个操作组成。例如,用户管理是一项功能。因此,它由许多操作组成(例如创建、读取、更新和删除用户)。此外,功能还有一个表示该功能URL的入口URL(用于在单击按钮/链接时将用户重定向到该功能)。每个URL都映射到模块(控制器)中的一个方法

  • Operation.java-表示web应用程序中的操作的类。操作基本上是单个/基本操作,例如注册用户删除用户,但不一定是CRUD操作。每个操作都有一个条目URL(显示开始操作的页面的URL)。例如,对于用户注册操作,条目URL将是/webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(注册用户)。但是一个操作可能需要一个页面流来完成。例如,用户注册操作可能需要一个带有注册表单的页面,一个URL(通常映射到方法)作为提交表单的操作,以及一个成功/错误页面,以显示成功/错误消息

  • Permission.java-表示系统中URL的类。每个权限都与一个或多个操作(Operation.java)相关,以组成页面流。例如:用户注册操作可能具有以下URL/权限

    • /webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(用户注册)/register-映射到(CompanyNameUser)控制器中方法的URL,用于提交表单(表单操作)并保存在通常调用(CompanyNameUser)DAO的数据库中

    • /webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(注册用户)/success/-映射到控制器中的方法以显示成功消息的URL

    • /webapplicationName/moduleName(用户)/featureName(用户管理)/operationName(注册用户)/error/-映射到控制器中的方法以显示错误消息的URL

  • ProfilePermission.java-表示配置文件和权限之间N-N关系的联接表的类

这里的问题是,如果我使用Spring Security来实现访问控制,我注定要实现一个User.java类(我无法自定义名称),而且我还需要一个用于角色和其他权限的类。因此,我无法构建自己的访问控制流。我考虑使用SERVLET过滤器来检查权限接受/拒绝访问。但是,当我尝试重定向到URL或在过滤器中执行chain.doFilter()时,它只显示错误404。我想这是因为我使用了DefaultAnnotationHandlerMapping来处理请求。也就是说,我的配置如下所示:

web.xml:

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.5" 
   xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee     http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">`<display-name>cheapig</display-name>

<!-- ROOT CONTEXT DEFINITIONS -->
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>/WEB-INF/spring/root-context.xml</param-value>
</context-param>`
<listener>
    <listener-  class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener> 

<!-- The filter to implement my access control -->
<filter>
    <filter-name>securityFilter</filter-name>
    <filter-class>org.cheapig.security.SecurityFilter</filter-class>
</filter>

<filter-mapping>
  <filter-name>securityFilter</filter-name>
  <url-pattern>/**</url-pattern>
</filter-mapping>   

<servlet>
    <servlet-name>cheapig</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-   class>     <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring/cheapig/servlet-context.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>  

<servlet-mapping>
    <servlet-name>cheapig</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping></web-app>

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:aop="http://www.springframework.org/schema/aop"       
xmlns:tx="http://www.springframework.org/schema/tx" 
xmlns:context="http://www.springframework.org/schema/context"       
xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
    http://www.springframework.org/schema/context
    http://www.springframework.org/schema/context/spring-context-3.1.xsd
    http://www.springframework.org/schema/tx
    http://www.springframework.org/schema/tx/spring-tx-3.1.xsd
    http://www.springframework.org/schema/aop       
    http://www.springframework.org/schema/aop/spring-aop-3.1.xsd">
<!-- Root Context: defines shared resources visible to all other web components -->

<bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
    <property name="basename" value="classpath:messages" />
    <property name="defaultEncoding" value="latin1"/>              
</bean>

<bean id="localeChangeInterceptor"
    class="org.springframework.web.servlet.i18n.LocaleChangeInterceptor">
    <property name="paramName" value="lang" />      
</bean>

<bean id="localeResolver"
    class="org.springframework.web.servlet.i18n.CookieLocaleResolver">
    <property name="defaultLocale" value="pt"/>

</bean>

<bean id="handlerMapping"
    class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping">
   <property name="interceptors">
       <ref bean="localeChangeInterceptor" />
   </property>     
</bean></beans>

    <?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/mvc"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/mvc    http://www.springframework.org/schema/mvc/spring-mvc-3.1.xsd
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
    http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd">

    <!-- DispatcherServlet Context: defines this servlet's request-processing   infrastructure -->

    <!-- Enables the Spring MVC @Controller programming model -->
    <annotation-driven />

    <!-- Handles HTTP GET requests for /resources/** by efficiently serving up static resources in the ${webappRoot}/resources directory -->
    <resources mapping="/resources/**" location="/resources/" />

    <!-- Imports user-defined @Controller beans that process client requests -->
    <beans:import resource="controllers.xml" />
    <beans:import resource="hibernateMySQL5.xml"/>      
    <context:component-scan base-package="br.com.cheapig" />
</beans:beans>

package br.com.cheapig.security;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

public class SecurityFilter implements Filter {

@Override
public void init(FilterConfig filterConfig) throws ServletException {
    // TODO Auto-generated method stub

}

@Override
public void doFilter(ServletRequest request, ServletResponse response,
        FilterChain chain) throws IOException, ServletException {

    // TODO Auto-generated method stub
    chain.doFilter(request, response);
}

@Override
public void destroy() {
    // TODO Auto-generated method stub
}
 }
那么,我该怎么办?我应该使用Spring Security吗?有没有办法用Spring Security实现我自己的定制流程?我应该在处理程序映射中使用拦截器而不是过滤器吗?如有任何帮助/建议,我将不胜感激

提前谢谢

看一看。它可能更适合您的需求。

这是一个非常晚的响应,但这是为子孙后代准备的

我同意ApacheShiro是一个值得一看的好地方。然而,另外,我建议你退一步,看看你问题背后的理论。本质上,您试图实现的是一个基于角色的访问控制模型,其中包含用户、组、角色和权限。此外,通过阅读您的问题,听起来您在请求访问的用户和目标资源之间有关系

考虑到这一点,您需要的是ABAC——基于属性的访问控制——正如NIST在2014年早些时候发布的报告中所定义的那样。你可以

有了ABAC,你可以用属性来描述你的用户——任何属性——比如角色、位置、年龄、国籍。。。同样,您可以描述