¿Cuáles son las mejores estrategias para proteger su aplicación GWT + Tomcat para realizar autenticación y autorización?GWT y Autenticación
15
A
Respuesta
14
Therea son dos estrategias básicas:
- asegurar los puntos de entrada;
- proteja los servicios remotos.
Asegure los puntos de entrada
La forma más sencilla es restringir el acceso a los archivos html/js generados por GWT utilizando herramientas de seguridad de aplicaciones web regulares:
- Spring Security;
- restricciones web.xml.
Esto puede permitirle tener una p. Ej. AdminEntryPoint
y UserEntryPoint
.
asegurar los servicios remotos
Si la solución anterior no es suficiente, se puede cavar más profundo. Lo he hecho con Spring Security. No he encontrado una forma 100% limpia de integrar Spring Security con GWT, así que agregué un poco de pegamento. Brevemente:
- creado una anotación
@AllowedRoles
que enumera las funciones de usuario se permite acceder a que método de servicio; - creó un
UserDetailsService
que permite la inspección del usuario actual (ver the SecurityContextHolder javadoc para más detalles); - creó un aspecto de resorte que coincide con todos los métodos anotados con la anotación antes mencionada. Utiliza el servicio para recuperar los roles del usuario actual y arroja una excepción marcada para señalar un acceso ilegal;
- modificó todos los métodos de servicio para arrojar la excepción de seguridad.
Cuestiones relacionadas
- 1. Autenticación segura con GWT y GAE en https?
- 2. Diferencia entre gwt-ext y ext-gwt
- 3. Expresiones regulares y GWT
- 4. ¿Comparar GWT y Django?
- 5. GWT y .NET
- 6. integrando Grails y GWT
- 7. CellTables y css (GWT)
- 8. GWT: fileUpload.getFileName() y fakepath
- 9. GWT y archivos javascript
- 10. Protección GWT y XSRF
- 11. Autenticación federada y autenticación delegada en Salesforce
- 12. Autenticación y Autenticación API Web ASP.NET
- 13. Diferencia entre gwt, gwt-rpc, ext-gwt, smart gwt
- 14. GWT y WebSocket/Datos push del servidor al cliente GWT
- 15. GWT RequestFactory y varios tipos
- 16. Decida entre extJS y GWT
- 17. Guava r07, GWT y javax.annotation.Nullable
- 18. Maven GWT 2.0 y Eclipse
- 19. GWT FlexTable rendimiento y optimización
- 20. Problemas con GWT y Enum
- 21. GWT RequestFactory y solicitudes múltiples
- 22. Problemas con GWT y Guava
- 23. Autenticación mono y ASP.NET
- 24. WCF y autenticación
- 25. DerbyJS y Autenticación
- 26. Autenticación y autorización JSF
- 27. couchDB, python y autenticación
- 28. autenticación HTTPS y BASIC
- 29. Facebook Connect con GWT y App Engine (Java)
- 30. Ext GWT vs GWT-EXT
Robert, ¿podría darnos el código de muestra del aspecto mencionado? (es donde he topado) –