オブジェクトの粒度を持つ Java Web アプリケーションのセキュリティ フレームワークを探しています。
つまり、URL やロールだけでフィルタリングするのではなく、システム内のドメイン オブジェクトの特定のユーザー所有権でフィルタリングしたいということです。
たとえば、ユーザーとユーザーMessageを持つオブジェクトがある場合、すべてのメッセージが送信者によって RW になり、受信者によって RO になるように構成できるようにしたいと考えています。SenderReceiver
または、たとえば、すべてのユーザー プロファイルはすべてのユーザーが表示できますが、所有者のみが編集できます。
もちろん、このルールはメタ データ (注釈、xml ファイルなど) を使用して定義し、ビジネス ロジックに埋め込まないようにしたいと考えています。
そんな野獣いる?できればオープンソース。
Spring Security can provide things like method security and "secure objects" using AOP.
アクセス制御リスト(ACL)を探しています。他の回答者と同様に、Spring Securityはここで確認する価値があると思います。Acegiは、名前を変更する前にSpringSecurityと呼ばれていたものです。Spring Securityは、ACLを明示的にサポートしています(URLベース、ロールベース、およびグループベースのアクセス制御に加えて)。XMLと注釈ベースの構成の両方をサポートします。また、ACLフィルタリングをビュー(taglibsを使用してJSPでレンダリングまたは抑制するものを決定する)、単一のドメインオブジェクトを返すメソッド(メソッド呼び出しの成功を許可するかどうかを決定する)、およびコレクション(コレクションを返す前に、コレクションから除外するオブジェクトを決定します)。
単純な要件のために独自のACLコードをロールすることで逃げることができるかもしれませんが、私の意見では、ACLはかなりすぐにトリッキーになる可能性があります。特に、ドメインオブジェクトがたくさんあり、パフォーマンス管理を真剣に受け止めなければならない場合はなおさらです。
このリンクをチェックしてくださいAcegiSecurityFundementals-少し時代遅れですが、SpringSecurityのオブジェクトレベルの承認メカニズムの主要な概念を提供します。