Play アプリケーションを保護しようとしていますが、どこから始めればよいかわかりません。Play チュートリアルでは、そのトピックに関する章は見つかりませんでした。私が見る限り、セキュリティ トピックはプレイ バージョン間で変化しています。では、皆さんは自分のアプリケーションを保護するために何を使用していますか? 私は Play を始めたばかりなので、明らかな質問をしている場合はご容赦ください。
編集:わかりました、多分質問は十分に明確ではありませんでした(本当に申し訳ありません)。セキュリティについて話すときは、ユーザーの資格情報と、一部のページへのアクセスを制限し、最終的にはアプリケーションの残りのアクションへのアクセスを制限できるツールが必要であることを意味します。
Edit2 : 今すぐデッドボルト 2 を試してみます。しかし、Play のセキュリティに関する知識を他の人と共有することをお勧めします :)
このトピックに関するドキュメントはまだ少し精彩を欠いているようですが、基本的に、認証/承認機能は通常、Play で再利用可能なコントローラー コードの基礎となるアクション構成を使用して実行されます。ここに例があります(一般的なアイデアを得るのに役立つはずのドキュメントからもリンクされています)。
Play 2.2.x でのアクションの構成は、ActionBuildersを使用して行われます。これらは、リクエストを受け入れて を返すブロックを受け取りますFuture[SimpleResult]。これにより、アクションビルダーは、指定されたブロックを実行するか、別のものを返すことができますFuture[SimpleResult](たとえば、Unauthorizedユーザーの資格情報がチェックアウトされなかった場合)。
私たちのアプリでは、セッション Cookie による認証を処理するためにPlay2-authモジュールを使用します。これは Play 2.2.x で動作するように (ちょうど) 更新されましたが、アクション構成 (スタック可能なコントローラー)にはわずかに異なるメカニズムを使用しています。依存関係を追加する前に。
Access control, security, etc. is a very wide topic, because it means very different things depending on context. This may be one of the reasons why Play has little documentation for it, which puzzled me at the beginning as well.
Play2 has some security helpers, namely it's the Authenticated method, for some insights on how to use it, check the comments in the source code. Its a simple method that you could implement yourself, and most do. It, essentially, just proposes a structure for where to place your methods that would check if request is authenticated and what to do if it's not.
Play2 also has some cryptography logic, which is used for signing cookies.
That's about it, you don't have any more pre-built security structures, but that's a good thing, because you don't want the framework making decisions like that for you, if it doesn't know in what context it will be used.
What is essential is to go and research how attacks relevant to your application are carried out, best practices and so on. I recommend going to OWASP, particularly the OWASP Cheat Sheets. If the list of Cheat Sheets seems intimidating start with the OWASP Top Ten Cheat Sheet. Don't mind the large volume of information, it's very useful knowledge.