用弹簧安全装置固定救生筏舱门

Question

我目前正在使用救生筏portlet。Spring安全性用于呈现层(在jsp页面中)。但是，这是不安全的，因为我的调度控制器和服务没有任何安全/授权检查。

在我的应用程序中，Spring控制器接收请求，并传递给服务层.服务层构建结果并将其传递给JSP页面。在jsp页面中，我们使用spring安全标记进行安全授权。

我想知道以下几点：

1. 实现portlets授权的最佳实践。
2. 在调度层还是服务层实现安全是更好的选择？
3. 如何实现调度层或服务层的安全？

请考虑我的应用程序中基于用例的安全性。

谢谢!

Answer 1

我最喜欢的答案是：“视情况而定”。

这取决于以下几点：

Liferay默认为*LocalService没有任何权限检查-例如，如果您可以访问API，您可以做任何您想做的事情。然而，远程服务应该在将服务的实际执行委托给本地服务之前检查权限。

如果您想使用Liferay的permissionChecker (它是现成的和运行时可配置的)，您应该在非本地服务方法中这样做。我倾向于推荐这一点，因为您将能够访问Liferay许可系统 -而且您已经拥有由Liferay管理的用户身份、角色、成员身份等。创建自定义角色，授予自定义权限，您就可以在运行时配置所有可配置的内容。

其次，虽然您肯定希望检查后端服务中的权限，但您可能希望在UI层上再次检查该权限:如果不允许用户操作某个对象，则不希望显示显示他们可以更改该对象的按钮，只会得到“拒绝权限”的回复。

话虽如此，我从来没有把春天的安全(尤其是塔格利布)和Liferay的许可系统联系在一起。