那些遇到过的问题

使用带有Spring Security插件的Grails 2.x的字段级安全性

Pet*_*yen 3 grails spring-security

是否可以使用Grails中的Spring Security Core插件实现字段级安全性?

我们目前正在使用@Secured注释的方法级安全性,但是有些用户只能更新实体的某些字段.我们可以使用安全标记库来隐藏不应该访问的字段,但这只是客户端限制(因此可以很容易地规避).

Jos*_*ore 6

Grails的Spring Security Core插件直接对此没有任何支持.但是,没有什么能阻止你在绑定中编写自己的安全性.

例如,在您的控制器中:

package com.example
import grails.plugin.springsecurity.SpringSecurityUtils
class PersonController {
  ...
  def update() {
    Person personInstance = Person.get(params.id)
    if (SpringSecurityUtils.ifAllGranted('ROLE_ADMIN') {
      bindData(personInstance, params) // exclude nothing 
    } else {
      bindData(personInstance, params, [exclude: ['someSensitiveProperty', 'anotherProp']]) 
    }
  }
  ...
}
Run Code Online (Sandbox Code Playgroud)

从理论上讲,您甚至可以在您选择的绑定方法中将此绑定逻辑封装在域类本身中(例如personInstance.bindDataWithSecurity(params))

归档时间:

查看次数:

187 次

最近记录:

12 年,1 月 前
相关归档
HttpSecurity,WebSecurity和AuthenticationManagerBuilder 95
Spring Security,REST基本身份验证问题 9
Groovy方法拦截 8
如何在Spring Boot中覆盖Spring Security默认配置 5
我们可以根据路径变量将httpbasic和OAuth2都用于API吗? 5
如何使用 client_credentials 从资源服务器访问另一个 oauth2 资源? 3
"org.json.JSONArray实现了Serializable":实现这一目标的最佳选择是什么? 2
Spring安全性不会在intercept-url上重定向 2
Grails无法识别Java类 2
Grails的.来自params的变量中分配了不正确的值 1
难疑归档
"git add -A"和"git add"之间的区别. 2788
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
我应该在MySQL中使用日期时间或时间戳数据类型吗? 2598
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
如何完全删除使用init创建的git存储库? 1358
在视图控制器之间传递数据 1340
什么是右值,左值,x值,glvalues和prvalues? 1291
Promises和Observables有什么区别? 1291
type()和isinstance()之间有什么区别? 1163