使用 Shiro 保护 grails 中的服务

Question

我正在使用 grails 构建一个主要用作服务框架的应用程序。我的问题是：服务能否以与控制器相同的方式得到保护？

基于uri的示例：

class SecurityFilters {
  def filters = {
    all(uri: "/**") {
      before = {
        // Ignore direct views (e.g. the default main index page).
        if (!controllerName) return true
        // Access control by convention. 
        accessControl()
      }
    } 
  } 
}

Answer 1

我不知道 Shiro 插件是否支持这一点，但 Acegi plugin 支持，尽管是以“实验性”方式（无论这意味着什么）。

更新

正确阅读问题后，您似乎在询问是否可以使用过滤器来保护服务。如果是这种情况，那么 Shiro 就有点无关紧要了，因为执行授权的是过滤器，而不是 Shiro。

因此，要回答您是否可以使用过滤器来保护服务的问题，答案是否定的，因为您只能从过滤器中访问控制器。但是，您可以使用 Groovy 元编程对服务进行 AOP 风格的方法拦截。

基本做法是：

• 对于每个服务，将 invokeMethod 属性添加到 MetaClass
• 该属性的值应该是一个闭包。这个闭包将拦截（即被调用而不是调用）服务上调用的每个方法。
• 此关闭应
  • 执行安全检查
  • 如果授权成功则调用原始方法，如果授权失败则抛出异常（或显示错误）

一边

如果可能的话，我强烈建议使用经过验证的安全插件（例如 Shiro、Acegi）来执行授权检查，而不是按照上述方式自行滚动。