さまざまなドメインオブジェクトにセキュリティ認証を配置する必要がある3層アプリケーションがあります。
SpringのACL実装を使用する場合でも、独自の実装を使用する場合でも、ACLベースのセキュリティは(サービス)メソッドの承認にのみ使用でき、URLまたはWebサービスの呼び出しの承認には使用できないようです。これは、Webサービス呼び出しがXMLペイロードをハイドレイトする前にACLをどのようにチェックできるのでしょうか。また、SpringドキュメントのWebアクセスセキュリティの例はすべて、役割に基づいてURLを保護しています。
Springの役割を使用してWebプレゼンテーションとWebサービスの呼び出しを保護すると同時に、ACLを使用してビジネスメソッドを保護するのが一般的ですか?これはやり過ぎですか?
Springの役割を使用してWebプレゼンテーションとWebサービスの呼び出しを保護すると同時に、ACLを使用してビジネスメソッドを保護するのが一般的ですか?
はい。
これは、リクエストマッピングと保護されたアノテーションを組み合わせることで、コントローラーで簡単に実行できます。
@RequestMapping("/some/url")
@Secured( {"ROLE_GET_THE_DATA"} )
public ModelAndView getTheData(HttpServletRequest request,
HttpServletResponse response) throws Exception {
// get the data
// return it in your mav
}
データアクセスオブジェクト(DAO)に保護された注釈を追加すると、セキュリティ設計が完了します。
これはやり過ぎですか?
それはあなたのアプリケーションに依存します。最低限、コントローラーを保護する必要があります。DAOを保護しないと、将来的にセキュリティホールが発生する可能性があります。
このタイプのセキュリティをアプリケーションに追加するよう取り組んでいます。