¿Cuáles son las mejores estrategias para proteger su aplicación GWT + Tomcat para realizar autenticación y autorización?GWT y Autenticación
15
A
Respuesta
14
Therea son dos estrategias básicas:
- asegurar los puntos de entrada;
- proteja los servicios remotos.
Asegure los puntos de entrada
La forma más sencilla es restringir el acceso a los archivos html/js generados por GWT utilizando herramientas de seguridad de aplicaciones web regulares:
- Spring Security;
- restricciones web.xml.
Esto puede permitirle tener una p. Ej. AdminEntryPoint
y UserEntryPoint
.
asegurar los servicios remotos
Si la solución anterior no es suficiente, se puede cavar más profundo. Lo he hecho con Spring Security. No he encontrado una forma 100% limpia de integrar Spring Security con GWT, así que agregué un poco de pegamento. Brevemente:
- creado una anotación
@AllowedRoles
que enumera las funciones de usuario se permite acceder a que método de servicio; - creó un
UserDetailsService
que permite la inspección del usuario actual (ver the SecurityContextHolder javadoc para más detalles); - creó un aspecto de resorte que coincide con todos los métodos anotados con la anotación antes mencionada. Utiliza el servicio para recuperar los roles del usuario actual y arroja una excepción marcada para señalar un acceso ilegal;
- modificó todos los métodos de servicio para arrojar la excepción de seguridad.
Cuestiones relacionadas
- 1. Autenticación segura con GWT y GAE en https?
- 2. Diferencia entre gwt-ext y ext-gwt
- 3. GWT y .NET
- 4. CellTables y css (GWT)
- 5. Expresiones regulares y GWT
- 6. Protección GWT y XSRF
- 7. ¿Comparar GWT y Django?
- 8. GWT y archivos javascript
- 9. GWT: fileUpload.getFileName() y fakepath
- 10. Autenticación federada y autenticación delegada en Salesforce
- 11. Autenticación y Autenticación API Web ASP.NET
- 12. Diferencia entre gwt, gwt-rpc, ext-gwt, smart gwt
- 13. GWT y WebSocket/Datos push del servidor al cliente GWT
- 14. autenticación HTTPS y BASIC
- 15. Autenticación y autorización JSF
- 16. WCF y autenticación
- 17. DerbyJS y Autenticación
- 18. couchDB, python y autenticación
- 19. Autenticación mono y ASP.NET
- 20. Problemas con GWT y Guava
- 21. GWT RequestFactory y varios tipos
- 22. GWT FlexTable rendimiento y optimización
- 23. Decida entre extJS y GWT
- 24. Guava r07, GWT y javax.annotation.Nullable
- 25. GWT RequestFactory y solicitudes múltiples
- 26. Problemas con GWT y Enum
- 27. Maven GWT 2.0 y Eclipse
- 28. Ext GWT vs GWT-EXT
- 29. GWT: UiBinder o GWT Designer?
- 30. Autenticación de formularios de ASP.NET y una subcarpeta "Sin autenticación"
Robert, ¿podría darnos el código de muestra del aspecto mencionado? (es donde he topado) –