Jakie są najlepsze strategie zabezpieczania aplikacji GWT + Tomcat w celu przeprowadzenia uwierzytelniania i autoryzacji?GWT and Authentication
15
A
Odpowiedz
14
thereâ są dwie podstawowe strategie:
- zabezpieczają punkty wejścia;
- zabezpieczyć usługi zdalne.
zabezpieczyć punkty wejścia
Najprostszym sposobem jest ograniczenie dostępu do plików html/js generowanych przez GWT przy użyciu zwykłego narzędzia bezpieczeństwa aplikacji web:
- Wiosna bezpieczeństwa;
- Ograniczenia web.xml.
To może pozwolić na posiadanie np. AdminEntryPoint
i UserEntryPoint
.
Bezpieczne zdalne usługi
Jeśli powyższe rozwiązanie nie jest wystarczające, można kopać głębiej. Zrobiłem to dzięki Spring Security. Nie znalazłem w 100% czystego sposobu na integrację Spring Security z GWT, więc dodałem trochę kleju. W skrócie:
- stworzony adnotację
@AllowedRoles
który wymienia role użytkowników dozwolony dostęp do tej metody usługi; - utworzyła
UserDetailsService
, która umożliwia sprawdzenie bieżącego użytkownika (szczegóły: patrz the SecurityContextHolder javadoc); - utworzono aspekt wiosenny, który pasuje do wszystkich metod opisanych adnotacją. Korzysta z usługi, aby pobrać role bieżącego użytkownika i wyrzuca sprawdzany wyjątek, aby zasygnalizować niedozwolony dostęp;
- zmodyfikował wszystkie metody usług, aby rzucić wyjątek bezpieczeństwa.
Powiązane problemy
- 1. DerbyJS and Authentication
- 2. Mongo Authentication
- 3. ZF2 Authentication
- 4. IOS https authentication
- 5. Różnica między gwt, gwt-rpc, ext-gwt, inteligentny gwt
- 6. Socket and Authentication nie powiodło się, ponieważ strona zdalna zamknęła wyjątek strumienia transportowego w WPF
- 7. ColdFusion 10 Active Directory Authentication
- 8. Watin Windows Authentication
- 9. relaksującego API Authentication
- 10. RESTful-Authentication lub Authlogic?
- 11. SOA - Authentication Service projekt
- 12. WebService Główki Authentication
- 13. CAS Authentication Symfony2
- 14. Authentication Cassandra problem
- 15. memcached authentication remote connections
- 16. Steam API Authentication
- 17. Android facebook authentication
- 18. Django RSS Feed Authentication
- 19. SOA Service Design/Authentication
- 20. aplikacja Authentication dla Django
- 21. Base64 Authentication Python
- 22. HTTP Digest Authentication
- 23. .NET WebApi Authentication
- 24. PHP cIRC Authentication Issue
- 25. Zend2 + Doctrine2 Authentication
- 26. Wykrywanie Web.Config Authentication Mode
- 27. Google Cloud Storage Authentication
- 28. Kod GWT LUB projektant GWT?
- 29. ArrayList and String [] AND Object []
- 30. GWT Wiosna Integracja Bezpieczeństwa (PURE GWT, NO JSP)
Robert, czy mógłbyś podać przykładowy kod wspomnianego aspektu? (tam właśnie utknąłem) –