我有一个有点单一的 Java 应用程序,它围绕我的业务服务层的 Spring @Service beans 构建。通常,我的每个业务服务方法都有 Spring Security 注释(例如 @PreAuthorize)来为该操作执行适当的授权规则。
在主要的 web 应用程序流程中,这工作得很好;每个 Web 请求都隐含地由 session cookie 等处理身份验证。
但是,当涉及到与其他“内部”系统的各种集成点时,我看不出一个明确的解决方案。
例如,我将使用 JMS 队列中的方法,该队列已经在代理中定义了自己的身份验证和授权规则,因此我想隐式地“信任”我收到的消息。然而,就目前情况而言,像这样的足够简单的 Camel 路线:
WidgetService widgetService = lookup(WidgetService.class);
from("activemq:newWidget")
.unmarshall(...)
.bean(widgetService, "newWidget");
最终抛出一个 AuthenticationCredentialsNotFoundException。
这告诉我 Camel 正确地调用了我的 bean,应用了 Spring 的所有神奇 AOP。
对于此类其他事情,我已经在系统的入口点周围应用 AOP 建议(例如,围绕 Quartz Job 的 execute 方法) ,它会注入(inject)一个 PreAuthenticatedAuthenticationToken,但我不确定这是否真的是最好的方法。
我应该继续将这些“受信任”的入口点包装在建议中以添加身份验证上下文,还是应该更改我的服务层以具有某些不需要身份验证的业务方法的特殊形式,并确保我清楚地记录它们不是用于网络 @Controller 方法等吗?
最佳答案
不幸的是,有最好的方法来做到这一点。这取决于应用程序,根据我的经验,所有解决方案都有效,但有一些缺点。
第一个解决方案是将@PreAuthorize 移至网络级别。这样您就可以在内部随心所欲地自由使用您的服务。我认为这是更简单的解决方案,更容易理解。您想保护您的网络用户吗?为什么不在 web 层中应用安全性。它的问题是 Web 层比业务层更频繁地更改,如果您不仔细开发 Controller 和端点,则更容易留下安全漏洞。对于大多数应用程序,我仍然会采用这种方法,让服务层只处理业务规则而不是安全性(这也是一种业务规则?)。当然,您仍然可以将一些默认的安全逻辑添加到 Controller 组和其他东西中,这样您就不必在任何地方重复自己。
第二种方法是您采用的方法。在您生成的经过身份验证的上下文中运行此类方法。这有点反逻辑——为什么在没有经过身份验证的用户时在经过身份验证的上下文中运行?你不应该这样做,但不幸的是,如果你想获得安全的服务,这是唯一的方法。这种方法不太容易出现安全错误,您可以更轻松地维护安全性。如果您坚持这样做,您可以使用模板模式或创建一些在上下文中运行内容的执行程序类。
我想不出第三种方法:)
关于java - 为 JMS 监听器处理 Spring Security 的首选方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51507661/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返