会员有很多工作。成员可以添加、删除或更新作业。目前在控制器中定义了通过 jQuery.ajax() 调用的操作(添加、删除或更新)。我们正在发送作业 ID 和成员 ID 来执行操作。 member id 是必需的,因为有一个角色 admin 可以代表成员修改工作,所以我们需要识别成员。但是发送会员ID是危险的,因为任何人都可以通过修改会员ID来发送请求。
我知道,我们可以添加约束来限制只有管理员可以修改工作或成员只能修改他的工作。我的问题是,我是否需要在控制器的操作中添加这些约束,或者是否有任何 Grails 方法可以做到这一点。我有谷歌,在 Ruby 和 Rails 中使用路由处理同样的事情。在 grails 中,我浏览了可能用于此目的的 RESTful URL 映射。
谁能指出我正确的方向,谢谢。我正在使用 Grails 2.1.1。
【问题讨论】:
标签: spring grails spring-security grails-orm grails-2.0
您可以实现AbstractPersistenceEventListenerService 的某些实现,以不允许对包含未登录用户ID 的实体执行操作。示例:
class MultiTenantPersistenceEventListenerService extends AbstractPersistenceEventListenerService {
def springSecurityService
@Override
protected AbstractPersistenceEventListener createPersistenceEventListener(Datastore datastore) {
return new MultiTenantPersistenceEventListener(datastore)
}
}
class MultiTenantPersistenceEventListener extends AbstractPersistenceEventListener {
MultiTenantPersistenceEventListener(final Datastore datastore) {
super(datastore)
}
@Override
protected void onPersistenceEvent(AbstractPersistenceEvent event) {
def entity = event.getEntityObject() // could be your Job domain entity
def user = springSecurityService.getCurrentUser() //current logged in user
if(entity.hasProperty('userId')){ // every job belongs to User
if(entity.userId != user.id){
throw new AccessDeniedException("Acces Denied !")
}
}
}
}
【讨论】:
我建议使用 grails spring-security-plugin。网络上有很多关于插件的信息,而且很容易配置。插件允许您以安全的方式执行控制器的操作。例如:
@Secured(['ROLE_USER'])
def followAjax = { ... }
@Secured(['IS_AUTHENTICATED_REMEMBERED'])
def personal = { ... }
更多信息 - plugin 和 spring-security with grails。
【讨论】:
您可以使用 Authorize 属性来授权用户, 例如
[CustomAuthorize(Roles=SiteRoles.Admin|SiteRoles.HelpDesk)]
public ActionResult Index()
{
return View();
}
这是确保网站安全的好方法。
通过这些链接,这将对您有所帮助。
【讨论】: