問題タブ [shiro]

パブリック Web アプリ用の安全なユーザー ログイン/セッション管理コンポーネントを探しています。Spring Security には可能性があるようですが、他に高品質の代替品はありますか?

概念的にはこれは簡単で、現在問題なく動作するコードがありますが、セキュリティ上の欠陥について公開レビューされているコードを使用したいと考えています。

ニーズ：

• ログイン
• ログアウト
• 安全なセッション トークン管理 (トークンは推測できません)
• セッションの有効期限
• Java/Tomcat のサポート

Apache Shiro (以前の JSecurity) を使用して実装した、かなり高度なセキュリティ メカニズムがあります。オブジェクトの正確な可視性ルールを知るために、いくつかのコードを実行する必要があります (つまり、ユーザーの役割、権限、グループなどを検索します)。現在のユーザーが表示を許可されているオブジェクトを教えてくれるクエリを実行したいと思います。

休止状態フィルターを使用すると、オブジェクト/クエリにフィルターを適用できることがわかりました。これは、ここで使用できるようです。

ただし、私が見つけた例はデータベースに集中しているようです (つまり、フィールド/列 isVisible があり、true に設定されている場合は常にフィルターをかけます)。一部のコードを休止状態フィルターとして実行する方法はありますか、それともすべてのクエリに小さな WHERE 句を追加する薄いレイヤーにすぎませんか。

私は実際にこれを Grails / GORM インフラストラクチャ内で使用しているため、有効な他のソリューションがいくつかある可能性があります。ハイバネート フィルタを統合するプラグインは存在しますが、ハイバネート フィルタリング プロセスの一部として実行するコードで使用できない限り、ここではあまり役に立ちません。

詳細な背景については、 http: //grails.markmail.org/message/62w2xpbgneapmhpdを参照してください。

BootStrap.groovy で Shiro SecurityUtils.getSubject() メソッドをモックアウトしようとしています。このアプローチを決定したのは、Shiro の最新バージョンの Subject ビルダーが現在のバージョンの Nimble プラグイン (私が使用している) では利用できないためです。SecurityUtils.metaClass を試してみることにしましたが、metaClasses の仕組みについて非常に基本的なことが欠けているように感じます。参考までに、私の Trackable クラスは次のとおりです。

私のBootStrap.groovyには、これがあります：

そして、それは機能します...一種の。BootStrap.groovy から件名を出力すると、"Canned Subject" が表示されます。Trackable のサブクラスのインスタンスを作成して保存しようとすると、次のようになります。

メタクラスがどのように機能するかについて不可欠な何かが欠けていますか?

Shiro を使用することで、GF で実行するエンタープライズ アプリケーションに優れたセキュリティ フレームワークを組み込むことができます。ユーザー、ロール、権限を定義すると、ユーザーがアプリケーションや特定のページにアクセスできるか、特定のボタンをクリックできるかを、きめ細かいレベルで制御できます。

それに加えて、ユーザーが特定のデータを表示できないようにするためのレシピまたはパターンはありますか?

サンプル: 3 つの工場 (1 つの会社の一部) の顧客テーブルがあります。管理者ユーザーはすべての顧客レコードを見ることができますが、ローカル工場のユーザーは他の工場の顧客データを (何らかの理由で) 見ることはできません。

セキュリティ機能は、ロール定義の一部である必要があります。

ご意見やアイデアをお寄せいただきありがとうございます

私は grails 1.2 アプリを持っており、ロールに基づいてアクセスを制限するために宣言型セキュリティを使用したいと考えています。shiro を試すことにし、プラグインをインストールしましたが、認証しようとすると、ヘッダーに「無効なユーザー名および/またはパスワード」というメッセージが表示されます。私はデータベースエントリをチェックし、ユーザーはsha'edパスワードでそこにいます。コンソールにもスタックトレースファイルにもメッセージは表示されません。「warn 'org.jsecurity'」を Config.groovyに追加しましたが、結果はありませんでした。これをトラブルシューティングするためのヒント/コツはありますか?

敏捷性がシロよりも良い選択である理由は何ですか？

私は今、新しいgrailsプロジェクトのために、軽快かシロかを決めようとしています。そして、何が軽快な選択をより良いものにするのか興味があります。

私はgrailsを使用して、主にサービスフレームワークとして機能するアプリケーションを構築しています。私の質問は、サービスをコントローラーと同じ方法で保護できるかどうかです。

uriベースの例：

私だけかもしれませんが、Shiro プラグインを使用して Grails アプリケーションの一部のページだけを保護する方法を理解するのに苦労しています。

これをセキュリティ フィルターで使用します。

ブートストラップでユーザーを作成しました：

そしてそれは動作します。問題は、すべてのコントローラー/アクションも保護することです。

SecurityFilter で保護したいアクションを指定することはできず、アクセス許可でのみ指定できることを望んでいました..しかし、これは可能ですか?

GrailsベースのWebアプリケーションを開発していますが、認証用にこれら2つのフレームワークのいずれかを選択する必要があります。あなたの意見では、どの基準がAcegiの選択を支持し、どの基準がApache Shiroの選択を支持しますか？