0

標準のJavaSecurityManagerの重要なポリシーファイルの良い紹介をお勧めしますか?

Java Webサイトが提供するものを超える例はありますか?あるいは、さまざまなWebアプリケーションを実行するTomcatを保護する方法を誰かが説明しているのでしょうか。

[編集]私のユースケースは、1。アプリケーション開発者、2。アプリケーション管理者、3。エンドユーザーの3種類のユーザーが作成したスクリプトを実行できるアプリケーションです。

グループ1のユーザーは、ほとんどすべてのリソースにアクセスできる必要があります(=特別なSMは必要ありません)。

グループ#2は信頼できますが、(呼び出しなどの)ばかげた間違いからグループを保護したいと思いSystem.exitます。

グループ#3は信頼できません。彼らは通常、小さなスクリプトを書くだけです。

スクリプトを実行すると、スクリプトがどこから来たのかがわかります。ポリシーファイルは私のユースケースに役立ちますか、それとも独自のSecurityManagerを作成する必要がありますか?

4

1 に答える 1

0

SecurityManagerで利用可能なメソッドを実際に確認しましたか?

  • 特定のユーザーが特定のアクションを実行できるかどうか(SecurityManager)はどのように答えることができますか?
    • ユーザーが何をしようとしていたかを知る方法はありません(アクション)
    • ユーザーが操作を試みたデータ(事物)を知る方法はありません。

ポリスファイルは、短いテキスト形式で表現でき、jvmの実行中に変更されないセキュリティ制約を必要とするリソースにのみ適しています。次のようなもの:

  • hardrive / path / to/fileからのみ読み取ることができます。
  • システムプロパティXのみを読み取ることができます
  • ポートのソケットのみを開くことができます...

あなたのqは、あなたが誰をテストしたいのか、そして彼らがどのような行動をとるかを実際に言っているのではありません。ページを保護しようとしている場合(URLを考えてください)、次のようなことを言うことができるSpringSecurityのようなものを検討することをお勧めします。

  • URL「/crash-computer」の場合、ロール「nasty」のユーザーのみがこれを実行できます
  • ロール「admin」のユーザーのみが「/admin/*」などにアクセスできます

Xを作成したユーザーまたはスーパーユーザーのみがXを更新できるなどの操作を行うには、独自のカスタムロジックを追加する必要があります。

于 2011-02-08T15:01:08.733 に答える