让我重新开始,说我还是 Grails 和 Spring Security 的新手。我一直在尽力筛选文档、示例和示例。这一切都让我有点困惑或不知所措。
我正在尝试使用 Spring 来管理用户对信息的访问。我有一个网站框架。我希望管理员能够添加人员、与人员相关的位置以及位置的图像。图片与人有关。我只希望登录的人能够看到他们的照片。
使用 sec 标记或 @Secure 注释或组合执行此操作是否更好或最佳实践?哪个最安全?我使用 sec:tags 限制了访问。是否有 sec:tag 可以用来选择要显示的图片?
【问题讨论】:
标签: spring grails spring-security
我认为你可以用更简单的方式来看待这个问题。基本上有 3 种方法可以通过基本插件安装来管理安全性。
基本上就是这样。以上没有一个比另一个更安全。有些人似乎混淆了“我的数据”的概念以及 Spring Security 如何处理它。如果在 Controller 中,您希望用户只能访问他们的“图片”,您应该只根据经过身份验证的用户查询“图片”。
def authenticatedUser = User.findByUsername(springSecurityService.principal.username)
def pictures = Picture.findAllByUser(authenticatedUser)
然后视图只关心您发送给它的图片。然后每个登录的用户将只能看到他们的图片。如果管理员已登录,并且需要查看所有图片,您可以执行以下操作:
def authenticatedUser = User.findByUsername(springSecurityService.principal.username)
if (SpringSecurityUtils.ifAllGranted("ROLE_ADMIN")) {
def pictures = Pictures.list()
}
但是,我可能只是有一个单独的控制器用于管理目的,而不是尝试在一个控制器中执行太多逻辑。或者,将逻辑移至服务。
希望这会有所帮助。
【讨论】: