与XACML(或任何其他基于策略的解决方案)的Spring安全集成
我们的web应用程序基于spring security。我们已经通过SSO提供程序(CAS)处理身份验证 我们正在尝试为我们的应用程序(角色和premisison)找到一个方便的处理授权的解决方案 我读过关于XACML的书;但是,找不到任何在Spring安全框架中实现和集成it的实际经验/示例 有人有这方面的经验吗 谢谢,与XACML(或任何其他基于策略的解决方案)的Spring安全集成,spring,spring-security,authorization,xacml,Spring,Spring Security,Authorization,Xacml,我们的web应用程序基于spring security。我们已经通过SSO提供程序(CAS)处理身份验证 我们正在尝试为我们的应用程序(角色和premisison)找到一个方便的处理授权的解决方案 我读过关于XACML的书;但是,找不到任何在Spring安全框架中实现和集成it的实际经验/示例 有人有这方面的经验吗 谢谢, Ray.我对spring安全框架没有把握。但是,如果您的应用程序可以调用外部soapweb服务,则可以使用WSO2标识服务器。因为WSO2 Identity Server的P
Ray.我对spring安全框架没有把握。但是,如果您的应用程序可以调用外部soapweb服务,则可以使用WSO2标识服务器。因为WSO2 Identity Server的PDP已通过基于SOAP的web服务公开。我想,使用您的应用程序,您可以轻松地调用它们。您可以从中找到更多详细信息。Asela所说的话适用于大多数基于XACML的授权服务器 您可以从开源软件中进行选择:
- WSO2(Asela's),它提供的不仅仅是XACML,顺便说一句,它首先是一个中介平台
- 福格洛克开放式
- JBoss的PicketBox
- 赫拉萨夫
- IBM(XACML2.0)
- 甲骨文(专有)
- 戴尔(基于XACML 3.0、.NET)
- (XACML 3.0、.NET和Java)
您还可以使用Axiomatics也提供的AOP PEP。本周四,我们将举办一场网络研讨会,讨论这个主题。详细信息。我知道这是一个老问题,但我认为最近一次名为(免责声明:我为Axiomatics工作,是网络研讨会的专家)的网络研讨会将有助于回答这个问题 它解释了如何扩展SpringExpress语言(SpEL)(在v3中引入)以实现自定义表达式,从而在URL和UI(Web表达式)以及方法(方法表达式)级别调用XACMLPDP以进行授权决策