spring-security доступ: а тому ли я дала

@Gepar · Регистрация: 01.07.2009

Студворк — интернет-сервис помощи студентам

Нет, я не девушка, просто решил привлечь внимание таким заголовком который вполне отражает суть проблемы

Считайте что вопрос задаёт мой сервер, а пол у него женский.

Мне необходимо добавить защиту (авторизацию) к серверу который раздаёт различные сервисы клиентам (как они подключаются в принципе не важно). В итоге я полуил следующую конфигурацию sping-security части:

XML
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
    <!--- My security -->
    <security:http realm="SecRemoting">
        <security:http-basic/>
 
        <security:intercept-url pattern="/HttpDepartmentService" access="ROLE_USER" />
    </security:http>
 
    <security:user-service id="uds">
        <security:user name="gepar" password="gepar"
                       authorities="ROLE_USER, ROLE_MANAGER, ROLE_ADMIN" />
        <security:user name="user" password="user"
                       authorities="ROLE_USER" />
    </security:user-service>
 
    <security:authentication-manager alias="authenticationManager">
        <security:authentication-provider>
            <security:user-service id="uds">
                <security:user name="gepar" password="gepar"
                               authorities="ROLE_USER, ROLE_MANAGER, ROLE_ADMIN" />
                <security:user name="user" password="user"
                               authorities="ROLE_USER" />
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>

Как видно из xml'ника, защищаю я HttpDepartmentService и в принципе всё работает: если зайти по этому адресу то я получаю запрос на авторизацию, всё хорошо (если прав недостаточно - соответственно ошибка томкетовская с руганиной на это) и с клиента всё хорошо авторизируется (использую апачевский http client что-то там) ... Только у меня как-то слишком мало всяких конфигов. Я до этого боялся spring-security потому что там какие-то DigestAuthenticationEntryPoint, exceptionTranslationFilter, filterSecurityInterceptor и прочее-прочее-прочее у других используется.

Но достаточно ли того что я сконфигурировал для защиты сервера? Или сейчас защиту легко обойти и вот этого моего конфига недостаточно и я тоже должен какие-то фильтры подключать с хитрыми алгоритмами? Всё же я хочу чтобы сервисом пользовались только авторизированные пользователи.

Ну и вопросы security касающиеся косвенно:
1)Как мне загружать конфигы по пользователям, паролям и ролям из файла и подсовывать их моему authenticationManager ? Это же как-то глупо что они вот так прямо посреди конфига записаны, уже хотя бы отдельно в файлике (без шифровок, хеширования и т.д, просто в файле) их видеть хотелось бы.
2)Как изменить страничку когда томкет ругается что доступа недостаточно, сейчас она стандартная, я хотел бы что-то своё написать (можно ткнуть носом в ссылку, я просто не знаю что гуглить).

@mutagen · 09.05.2013, 20:21

Сообщение от Gepar

Или сейчас защиту легко обойти и вот этого моего конфига недостаточно и я тоже должен какие-то фильтры подключать с хитрыми алгоритмами?

обычно хватает хранить пароль в md5 в базе и доставать его кастом провайдером

а вот так делают кастом
http://forum.springsource.org/... er-Details
там в серединке пример расширения провайдера для работы с бд

@Gepar · 09.05.2013, 21:45 **[ТС]**

mutagen, а куча фильтров мне не надо? У всех пачка фильтров, а я воспользовался стандартным конфигом и оно и так заработало, притом с куки, всё как положено. Я теперь думаю вот такую вот авторизацию оставить и к веб части или это плохая идея?
По учёткам сейчас схожу по той ссылке.

Добавлено через 4 минуты
Полезного не нашёл я там особо, но как я понял там подталкивают к идее написать свой authenticationManager, ну а вы подталкиваете меня к идее что он будет брать из базы данных информацию о логине, пользователе и правах, я правильно понял?

Добавлено через 28 минут
Нашёл на хабре в статье вот такое вот упоминание:
Пример записи (security.xml) при использовании БД для хранения паролей.

XML
1
2
3
4
5
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="dataSource" />
        </authentication-provider>
    </authentication-manager>

К сожалению дальше эта идея не развита, как указать таблицу в базе где надо брать записи о пользователях и как они должны выглядеть при таком конфиге? Или это оно будет брать реаьных пользователей базы с их правами при такой конфигурации?

Добавлено через 33 минуты
Кстати, а можно ли сослаться не через jdbc-user-service data-source-ref, а что-то учитывающее хибернейт и jpa. Как-то тупо что у меня будет конфиг хибернейта для пользования всем и конфиг jdbc чтобы только юзер-пароль тягать

@mutagen · 09.05.2013, 22:21

Сообщение от Gepar

брать из базы данных информацию о логине, пользователе и правах, я правильно понял?

да верно

Сообщение от Gepar

Или это оно будет брать реаьных пользователей базы с их правами при такой конфигурации?

да именно на это и рассчитано по датасорсу (скорее всего это безORMное решение для каких то целей)

Сообщение от Gepar

Как-то тупо что у меня будет конфиг хибернейта для пользования всем и конфиг jdbc чтобы только юзер-пароль тягать

согласен - поэтому реализовать кастом провайдера который тягает юзеров и пароли через хибернет более гибкое и на мой взгляд правильное решение.

@Gepar · 10.05.2013, 02:25 **[ТС]**

К слову: а как у этого spring-security кеш чистить? Я так понял он запоминает веб-клиента по какой-то сводке информации, я просто вот один раз авторизировался в ie и он теперь всегда меня помнит (я кукисы и кеши уже все вычистил), зашёл с оперы -> появилось окошко ввода логина и пароля, но опять же таки после ввода и авторизации я теперь постоянно авторизированный на сервере чтобы я там в браузере не делал и не чистил.

Сообщение от mutagen

согласен - поэтому реализовать кастом провайдера который тягает юзеров и пароли через хибернет более гибкое и на мой взгляд правильное решение.

Ок, учту, пока оставлю конфиг прямо в xml'е, а когда закончу с gui и веб-мордочкой хоть какой-то то допишу нормальную тягалку логинов и паролей с базы.

@mutagen · 10.05.2013, 07:11

Сообщение от Gepar

чтобы я там в браузере не делал и не чистил.

хз где там бразёры всё кешат, поэтому чтобы инвалидировать сессию, можно просто выполнить логаут
по дефолтному урлу

Java
1
/j_spring_security_logout

или повесить свой логаут хендлер на кастом урл
по атрибуту

XML
1
logout-url

@Skipy · 14.05.2013, 14:47

Сообщение от mutagen

обычно хватает хранить пароль в md5 в базе и доставать его кастом провайдером

Лучше все-таки не MD5, он ломается достаточно легко. SHA1 + salt - надежнее.

Новые блоги и статьи Все статьи Все блоги /
Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .
Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .