Spring Security -角色和ACL安全是否过度?
Spring Security -角色和ACL安全是否过度?
提问于 2010-06-01 10:03:43
我有一个3层的应用程序,它需要在不同的域对象上放置安全授权。
无论我是使用Spring的ACL实现,还是使用自己的ACL实现,在我看来,基于ACL的安全性只能用于授权(服务)方法,而不能用于授权URL或web服务调用。我之所以这么想,是因为web服务调用如何在补充XML有效负载之前检查ACL?此外,Spring文档中的所有web访问安全性示例都是基于角色的URL安全保护。
使用Spring的角色来保护web表示和web服务调用,同时使用ACL来保护业务方法,这是典型的吗?这是不是太夸张了?
回答 1
Stack Overflow用户
回答已采纳
发布于 2010-06-01 10:37:25
使用
的角色来保护web表示和web服务调用,同时使用ACL来保护业务方法,这是典型的做法吗?
是。
通过组合请求映射和安全注释,在控制器中很容易做到这一点:
@RequestMapping("/some/url")
@Secured( {"ROLE_GET_THE_DATA"} )
public ModelAndView getTheData(HttpServletRequest request,
HttpServletResponse response) throws Exception {
// get the data
// return it in your mav
}向数据访问对象(DAO)添加安全注释将完成安全性设计。
这是不是太夸张了?
这取决于您的应用程序。至少,你应该保护你的控制器。不保护DAO可能会在将来引入安全漏洞。
我们正在努力将这种类型的安全性添加到我们的应用程序中。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/2946913
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号