контроль доступа, роль и разрешение в Grails - PullRequest
Новая
       40

контроль доступа, роль и разрешение в Grails

3 голосов
/ 21 декабря 2011

Я работаю над приложением Grails впервые и теперь хочу защитить некоторые страницы, которые могут просматривать только администраторы, и дать некоторые разрешения другим пользователям.

Я использую плагин Apache Shiro для Grails.

Мой пример кода в начальной загрузке выглядит следующим образом 

class BootStrap {

def init = { servletContext ->
    def adminRole

    if(ShiroRole.findByName("Admin".isEmpty())){
        adminRole = new ShiroRole(name: "Administrator")
        adminRole.addToPermissions("*:*")
        adminRole.addToPermissions("admin")

        adminRole.save()

// «Пользователь» теперь имеет все права администратора. } 

    if (ShiroUser.findAllByUsername("user").isEmpty()) {
        def user = new ShiroUser(username: "user", passwordHash: new Sha256Hash("pass").toHex())
        user.addToPermissions("*:*")
        user.addToRoles(adminRole)

        user.save()

    }

    if (ShiroUser.findAllByUsername("Guest").isEmpty()) {
        def user = new ShiroUser(username: "Guest", passwordHash: new Sha256Hash("pass").toHex())
        user.addToPermissions("inventory:*")
        user.save()
    }


}
def destroy = {
}

}

Мои фильтры ShiroSecurityFilters выглядят как 

class ShiroSecurityFilters {
def filters = {
    all(uri: "/**") {
        before = {
            // Ignore direct views (e.g. the default main index page).
            if (!controllerName) return true

            // Access control by convention.
            accessControl()

        }
    }
}

}

Я хотел предоставить "Гостю" доступ только к инвентарю эшафот. Однако в моем приложении однажды пользователь "Гость" вошел в систему, чтобы получить доступ к другим контроллерам, но я не хочу, чтобы это произошло. Я ценю вашу помощь.

Если лучше использовать роль Широ, контроль доступа и / или разрешения, сообщите мне об этом.

Спасибо

1 Ответ

3 голосов
/ 05 января 2012

OK. посмотрим ...

в самом начале опечатка: 

"Admin".isEmpty()

всегда будет ложным ... и я полагаю, вы не определили роль "ложного" ...

И вы ищете "Администратор", но создаете "Администратор" ...

Do 

adminRole.save(flush:true, failOnError:true)

вместо adminRole.save(). Это гарантирует, что объект действительно сохранен.

Роль Administrator уже имеет все разрешения ("*:*"), а "admin" не является типичным разрешением Широ, поэтому вы можете оставить эту строку ... (adminRole.addToPermissions("admin"))

Если вы делаете 

user.addToRoles(adminRole)

вам не нужно добавлять разрешение "*:*". Роли уже достаточно.

Я сейчас создал тестовый проект, установил shiro, сделал create-auth-controller, create-wildcard-realm и create-filters ShiroSecurity.

Активируйте ведение журнала для BootStrap и Shiro-Realm, добавив следующие две строки в конфигурацию log4j в Config.groovy: 

debug   'grails.app.conf.BootStrap'
debug   'grails.app.realm'

Вот мой BootStrap.groovy: (интересная часть) 

def init = { servletContext ->
    def adminRole

    if(ShiroRole.findByName("Administrator")==null){
        adminRole = new ShiroRole(name: "Administrator")
        adminRole.addToPermissions("*:*")
        adminRole.save(flush:true, failOnError:true)
        log.debug adminRole.dump()
    }
    println ShiroUser.findAllByUsername("user").dump()
    log.debug "="*80
    if (ShiroUser.findAllByUsername("user").isEmpty()) {
        def user = new ShiroUser(username: "user", passwordHash: new Sha256Hash("pass").toHex())
        user.addToRoles(adminRole)
        user.save(flush:true, failOnError:true)
        log.debug user.dump()
    }

    if (ShiroUser.findAllByUsername("Guest").isEmpty()) {
        def user = new ShiroUser(username: "Guest", passwordHash: new Sha256Hash("pass").toHex())
        user.addToPermissions("inventory:*")
        user.save(flush:true, failOnError:true)
        log.debug user.dump()
    }

}

и мои ShiroSecurityFilters.groovy: 

def filters = {
    all(controller:'*', action:'*') {
        before = {
        // Ignore direct views (e.g. the default main index page).
        if (!controllerName) return true

        // Access control by convention.
        accessControl()

        }
    }
}

и это работает ...

Как видите, мои SecurityFilters основаны на контроллере и действиях ... только мои предпочтения ...

Но я думаю, что ваша проблема была основана только на неправильной загрузке. Ведение журнала очень полезно, когда вы работаете с shiro ...

...