当前在线人数11975
首页 - 分类讨论区 - 电脑网络 - 爪哇娇娃版 - 同主题阅读文章

此篇文章共收到打赏
0

  • 10
  • 20
  • 50
  • 100
您目前伪币余额:0
未名交友
[更多]
[更多]
access control within RESTful service
[版面:爪哇娇娃][首篇作者:merrimac] , 2015年01月07日14:12:36 ,1247次阅读,9次回复
来APP回复,赚取更多伪币 关注本站公众号:
[分页:1 ]
merrimac
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 1 ]

发信人: merrimac (不告诉你), 信区: Java
标  题: access control within RESTful service
发信站: BBS 未名空间站 (Wed Jan  7 14:12:36 2015, 美东)

大家新年好。

看版里牛人多,想问个RESTful service 里的授权问题。需要在已有的RESTful
service里加入用户授权,输入是user认证后的详细set of permissions,很fine-
grained, 比如,account.create, account.retrieval, etc和我们的endpoints/
operations,比如如果只有,account.retrieval, 那就只能
../accounts GET, no POST


考虑如下
1. 授权应是centralized,给每个已有的class/method加授权annotation不太可取
2. 现在只考虑把permissions map 到 URL/operations,不考虑单field的output的授权
3. 最理想是能做成一个plugin-able的component,输入一个config file,mapping可
以被set up。

现有想法是XACML或者Apache shiro,不限于二者。前者好像听着更合适,可是现在似
乎是个dying technology;后者貌似多用于web UI,在stateless里好像还没啥应用。
现在的user认证是用Spring Security做的

有这方面经验的童鞋给指点一下成么?多谢大家
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 205.]

 
domini
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 2 ]

发信人: domini (ADBC), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Wed Jan  7 16:01:07 2015, 美东)

no brainer, definitely Apache Shiro. Shiro can be used not only in web app,
but all cases where you need access control or authorization/authentication.
Also, it has a nice feature to be used along with RESTful web service. It
is even better than Spring Security IMHO.

【 在 merrimac (不告诉你) 的大作中提到: 】
: 大家新年好。
: 看版里牛人多,想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权,输入是user认证后的详细set of permissions,很fine-
: grained, 比如,account.create, account.retrieval, etc和我们的endpoints/
: operations,比如如果只有,account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized,给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations,不考虑单field的output的
授权
: 3. 最理想是能做成一个plugin-able的component,输入一个config file,mapping可
: ...................



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 73.]

 
goodbug
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 3 ]

发信人: goodbug (好虫), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Wed Jan  7 21:39:49 2015, 美东)

You are already using spring security for authentication, I failed to see
why you can't use its role and permission ACL. All you need to implement is
a PermissionEvaluator and you can certainly load a file/DB table for that.

【 在 merrimac (不告诉你) 的大作中提到: 】
: 大家新年好。
: 看版里牛人多,想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权,输入是user认证后的详细set of permissions,很fine-
: grained, 比如,account.create, account.retrieval, etc和我们的endpoints/
: operations,比如如果只有,account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized,给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations,不考虑单field的output的
授权
: 3. 最理想是能做成一个plugin-able的component,输入一个config file,mapping可
: ...................




--
※ 修改:·goodbug 於 Jan  7 21:40:16 2015 修改本文·[FROM: 73.]
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 69.]

 
Foxman
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 4 ]

发信人: Foxman (今狐冲), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Wed Jan  7 23:01:24 2015, 美东)

Use Spring Security
【 在 merrimac (不告诉你) 的大作中提到: 】
: 大家新年好。
: 看版里牛人多,想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权,输入是user认证后的详细set of permissions,很fine-
: grained, 比如,account.create, account.retrieval, etc和我们的endpoints/
: operations,比如如果只有,account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized,给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations,不考虑单field的output的
授权
: 3. 最理想是能做成一个plugin-able的component,输入一个config file,mapping可
: ...................



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 68.]

 
apocan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 5 ]

发信人: apocan (apo), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Tue Jan 13 21:47:55 2015, 美东)

请问大牛,如何学习rest web service, 有什么 资料 可以推荐吗?

thanks
【 在 merrimac (不告诉你) 的大作中提到: 】
: 大家新年好。
: 看版里牛人多,想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权,输入是user认证后的详细set of permissions,很fine-
: grained, 比如,account.create, account.retrieval, etc和我们的endpoints/
: operations,比如如果只有,account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized,给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations,不考虑单field的output的
授权
: 3. 最理想是能做成一个plugin-able的component,输入一个config file,mapping可
: ...................



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 135.]

 
merrimac
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 6 ]

发信人: merrimac (不告诉你), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Fri Jul 17 09:10:14 2015, 美东)

谢谢大家的回复。我们最后用了apache shiro, 它里面有个HttpMethod*Filter,把
HttpMethod 自动map成 CRUD operation,然后可以config path URL mapping as

/app1/**   myFilter[privilege1]
/app2/**   myFilter[privilege2]

这样如果有request as
POST  /app1/**

shiro就会把它的 privilege requirement转化成

privilege1:create

如果user有这个privilege, 就go,不然blocked。

嗯,我觉得学RESTful 最好看HTTP specification。
现在很多framework 都提供RESTful service, apache CXF, resteasy 啥的



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 205.]

 
badboy07
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 7 ]

发信人: badboy07 (又见飞刀), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Thu Apr 21 02:54:08 2016, 美东)

Mark涓涓
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 172.]

 
ChuangWang
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 8 ]

发信人: ChuangWang (太短), 信区: Java
标  题: Re: access control within RESTful service
发信站: BBS 未名空间站 (Wed May  4 17:23:38 2016, 美东)

There are tons of REST tutorial online including hundreds in youtube.

http://www.drdobbs.com/web-development/restful-web-services-a-tutorial/240169069

【 在 apocan (apo) 的大作中提到: 】
: 请问大牛,如何学习rest web service, 有什么 资料 可以推荐吗?
: thanks
: 授权



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 192.]

[分页:1 ]
[快速返回] [ 进入爪哇娇娃讨论区] [返回顶部]
回复文章
标题:
内 容:

未名交友
将您的链接放在这儿

友情链接


 

Site Map - Contact Us - Terms and Conditions - Privacy Policy

版权所有,未名空间(mitbbs.com),since 1996