Spring Security, как обеспечить доступ к персональным страницам только их владельцу

@dimitrij94 · Регистрация: 06.03.2015

Студворк — интернет-сервис помощи студентам

Есть пользователь пользователь может владеть несколькими заведениями, а может не владеть ни одним. Вопрос в том как настроить intercept-url в security конфигах так что бы при переходе на страницу заведения только владелец имел права на редактирование и удаление, в то время как другие пользователи могли только просматривать страницу. Привилегии я храню в отдельной таблице, при добавлении нового места пользователем я думаю нужно ему добавлять так же новую привилегию, я прав??

@KEKCoGEN · 25.09.2015, 11:10

dimitrij94, на клиенте пишите логику проверки можно ли удалять\править. На сервере ещё раз проверяйте права.
На чем написан клиент?

@dimitrij94 · 25.09.2015, 15:57 **[ТС]**

Это веб приложение, клиент браузер. И по сути вопрос и заключался в том как проверить эти права.

Допустим клиент приложения хочет просмотреть страницу заведения, он обращается по адресу:
Контролер достанет из БД информацию о заведении, и передаст ее на JSP представление.
Кажется все просто добавить только роль PLACE_OWNER и ему добавить привилегии для чтения и записи, но проблема в том что мест много и у каждого свой владелец и только владелец конкретно этого заведения может редактировать информацию а не все владельцы. То есть получается мне нужна возможность динамически регистрировать новые права для каждого пользователя.

@KEKCoGEN · 25.09.2015, 16:14

dimitrij94, когда отдаете страницу на клиент, включайте или отключейте возможность редактирования в зависимосит от пользователя который запросил страницу. Так же когда приходит запрос на редактирование, делайте ещё одну проверку чтобы не полагаться на клиент.

@lyolik · 25.09.2015, 19:08

dimitrij94,

Сообщение от dimitrij94

только владелец имел права на редактирование и удаление, в то время как другие пользователи могли только просматривать страницу.

Сообщение от dimitrij94

Контролер достанет из БД информацию о заведении, и передаст ее на JSP представление.

пусть он вместе с инфо о заведении достаёт и передаёт логин владельца. А в jsp

HTML5
1
2
3
4
5
<c:if test="${pageContext.request.userPrincipal.name == ${ownerLogin}}">
            <div class="edit">
                <a href="/edit">EDIT</a>
            </div>
</c:if>

т.е. див edit будет виден только владельцу.

Добавлено через 2 минуты
dimitrij94, ну и раз вы на jsp, почитайте возможности пространства имён <security>.

@KEKCoGEN · 25.09.2015, 19:16

Сообщение от lyolik

почитайте возможности пространства имён <security>.

Этого будет мало в данном случае имхо т.к доступ зависит не просто от роли пользователя а от принаджлежности ему некоторого инстанса домейна. Надо будет писать свой security voter и прописывать там эту логику.

Так же на сервере все равно надо проверять в момент запросы т.к инфа с клиента недостоверна.

@lyolik · 25.09.2015, 19:25

KEKCoGEN, вы правы, конкретно в этом случае <security> не поможет.

@dimitrij94 · 25.09.2015, 21:17 **[ТС]**

Спасибо, но это не совсем то что я спрашиваю, вопрос в том КАК это сделать.

Допустим, вот код контроллера что возвращает страницу
Но я не знаю как достать GrandedAuthorities.

Java
1
2
3
4
5
6
7
8
9
10
11
12
@RequestMapping(value = "/place_profile/{id}")
    public ModelAndView getPlaceProfilePage(@PathVariable("id") String id, WebRequest request){
 
//????????
Principal principal = request.getPrincipal();
 
if(principal.get....){
                return new ModelAndView("place_profile","place",db.getPlaceById(Long.valueOf(id)));
    }
else{
                return  new ModelAndeView("error","error_message",message);
}

Вот мой security config:

Кликните здесь для просмотра всего текста

XML
1
2
3
4
5
6
7
8
9
10
11
12
13
<security:http use-expressions="true" auto-config="true">
        <security:form-login login-processing-url="/login"
                             login-page="/index"
                             authentication-failure-url="/index?erorr=true"
                             authentication-success-handler-ref="mySimpleUrlAuthenticationSuccessHendler"/>
        <security:logout logout-url="j_spring_security_logout" logout-success-url="/index"/>
        <security:intercept-url pattern="browzer/owner/**" access="ROLE_OWNER"/>
 
    </security:http>
 
    <security:authentication-manager>
        <security:authentication-provider ref="customAuthenticationProvider"/>
    </security:authentication-manager>

Вот код customAuthenticationProvider-а, во многих туториалах также упоминаеться UserDetailsService, но мне совершенно не понятно что это и зачем он нужен.

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
@Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String name = authentication.getName();
        String password = authentication.getCredentials().toString();
        PlaceUser user=  idbBean.authorization(name, password);
 
        if(user!=null){
                if(!user.isEnabled()){
                    return null;
                }
 
            List<Authorities> authoritiesList =user.getAuthorities();
            int size =authoritiesList.size();
 
            List<GrantedAuthority>authorities = new ArrayList<>(size);
            for (int i = 0; i < size; i++) {
                authorities.add(new SimpleGrantedAuthority(authoritiesList.get(i).getAuthority()));
            }
            return new UsernamePasswordAuthenticationToken(name,password,authorities);
        }
        return null;
    }

Добавлено через 1 час 47 минут
Извините у меня наверное от температуры мозг отказывает. Не обращайте внимания. Хотя вопрос о разнице между UserDetailsService и AuhtentificationProvider остается в силе.

@lyolik · 26.09.2015, 12:15

dimitrij94, UserDetailsService нужен в случае использования вами DaoAuthenticationProvider. Этот провайдер обычно и используют, если хранят данные пользователей в бд. Это самый распространённый случай, поэтому во многих туториалах и встречается.

Новые блоги и статьи Все статьи Все блоги /
Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .
Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .

Spring Security, как обеспечить доступ к персональным страницам только их владельцу

Решение

Решение

@dimitrij94 0 / 0 / 0 Регистрация: 06.03.2015 Сообщений: 39

	Spring Security, как обеспечить доступ к персональным страницам только их владельцу 25.09.2015, 01:41. Показов 4211. Ответов 8 Метки нет (Все метки) Есть пользователь пользователь может владеть несколькими заведениями, а может не владеть ни одним. Вопрос в том как настроить intercept-url в security конфигах так что бы при переходе на страницу заведения только владелец имел права на редактирование и удаление, в то время как другие пользователи могли только просматривать страницу. Привилегии я храню в отдельной таблице, при добавлении нового места пользователем я думаю нужно ему добавлять так же новую привилегию, я прав?? 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	25.09.2015, 11:10
	dimitrij94, на клиенте пишите логику проверки можно ли удалять\править. На сервере ещё раз проверяйте права. На чем написан клиент? 0

@dimitrij94 0 / 0 / 0 Регистрация: 06.03.2015 Сообщений: 39
	25.09.2015, 15:57 [ТС]
	Это веб приложение, клиент браузер. И по сути вопрос и заключался в том как проверить эти права. Допустим клиент приложения хочет просмотреть страницу заведения, он обращается по адресу: Контролер достанет из БД информацию о заведении, и передаст ее на JSP представление. Кажется все просто добавить только роль PLACE_OWNER и ему добавить привилегии для чтения и записи, но проблема в том что мест много и у каждого свой владелец и только владелец конкретно этого заведения может редактировать информацию а не все владельцы. То есть получается мне нужна возможность динамически регистрировать новые права для каждого пользователя. 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	25.09.2015, 16:14
	dimitrij94, когда отдаете страницу на клиент, включайте или отключейте возможность редактирования в зависимосит от пользователя который запросил страницу. Так же когда приходит запрос на редактирование, делайте ещё одну проверку чтобы не полагаться на клиент. 0

@lyolik 40 / 40 / 20 Регистрация: 14.05.2015 Сообщений: 116
	25.09.2015, 19:25
	KEKCoGEN, вы правы, конкретно в этом случае <security> не поможет. 1

@lyolik 40 / 40 / 20 Регистрация: 14.05.2015 Сообщений: 116
	26.09.2015, 12:15
	Сообщение было отмечено dimitrij94 как решение Решение dimitrij94, UserDetailsService нужен в случае использования вами DaoAuthenticationProvider. Этот провайдер обычно и используют, если хранят данные пользователей в бд. Это самый распространённый случай, поэтому во многих туториалах и встречается. 1