我花了几个星期试图找出我应该为我发布的这个question 带来什么解决方案。由于我找不到 Shiro-Grails 集成的完整文档,我正在寻找其他一些框架(如 Spring)来保护我们基于 Web 的轻量级 Grails 应用程序。
该应用程序已有几个月的历史,并不是一个庞大的应用程序。没有更多的 20 个持久类。但是,我相信它很快就会长大。但是,安全性还没有实现,我想确保我能找到最好的安全框架(对我来说最好的可能包括:免费源、有据可查、易于与 Grails 集成、可扩展、最后但同样重要的是更安全)。
有什么建议吗?
【问题讨论】:
标签: grails spring-security security grails-plugin
Steve 是对的 - 它介于 SpringSecurity 和 Shiro 之间。
我正在使用 Shiro - 文档不如预期的好,但 *-Permissions 很棒。
您通过指定 "controller:action" 元组来授予权限。您可以使用列表和通配符:
"*:list,show" //everything read-only
"book:*" //everything allowed on the book class
"*:*" //admin
因此,您在一个文件中拥有作为白名单的所有权限(基于控制器:操作)。
到目前为止,我所看到的 SpringSecurity 是您通常基于 URL 的权限 - 恕我直言,这是保护控制器或操作的一种简单方法。参见Securing actions in Grails 2 rc3 例如:-)
PS:如果有人知道这种 *-Permission 在 SpringSecurity 中是如何完成的,请发表评论!
【讨论】:
标准的 Grails 安全框架是 Spring Security。查看docs
【讨论】:
几乎介于SpringSecurity 和Shiro 之间。
正如 doelleri 所说,Spring Security 似乎正在成为 Grails 的标准,它应该提供您所希望的任何东西,并且是 well documented 和设计的。 Shiro 我发现在基本安全任务方面的功能是相当的,但相比之下我觉得文档让我失望了。有一个名为 Nimble 的插件(现在不维护),它以 Shiro 为基础,Nimble 功能强大,提供了很多开箱即用的用户管理 GUI 等功能。
我刚开始为一个新项目使用 Spring Security,现在发现它非常强大且易于使用,很高兴我做出了改变。但最终取决于您的项目/组织需求。
【讨论】: