Главная » Spring » Безопасность веб-последовательностей Spring

0

В следующей главе будут рассматриваться проблемы обеспечения безопасности приложений на основе фреймворка Spring с использо- ванием Spring Security. Но, пока мы не закончили обсуждение темы применения фреймворка Spring Web Flow, рассмотрим поддержку обеспечения безопасности на уровне последовательностей, которую осуществляет Spring Web Flow, помимо Spring Security.

Состояния, переходы и даже целые последовательности можно обезопасить средствами фреймворка Spring Web Flow, добавляя эле- мент <secured> в другие элементы. Например, чтобы обезопасить до- ступ к состоянию-представлению, в определение состояния можно добавить элемент <secured>, как показано ниже:

<view-state id="restricted">

<secured  attributes="ROLE_ADMIN"  match="all"/>

</view-state>

Согласно этому определению, доступ к состоянию-представлению будет предоставлен только пользователям с привилегиями ROLE_ ADMIN (в соответствии со значением атрибута attributes). В атрибуте attributes можно через запятую указать список привилегий, кото- рыми должны обладать пользователи, чтобы получить доступ к со- стоянию, переходу или последовательности. В атрибуте match мож- но указать значение any или all. Если атрибут match имеет значение any, пользователь должен обладать хотя бы одной привилегией из списка в атрибуте attributes. Если атрибут match имеет значение all, пользователь должен обладать всеми указанными привилегиями.

У кого-то может возникнуть вопрос: «Как пользователь получит привилегии, проверяемые элементом <secured>? Имеет ли это отно- шение к процедуре регистрации пользователя в приложении?». От- веты на эти вопросы вы найдете в следующей главе.

Источник:   Уоллс К., Spring в действии. – М.: ДМК Пресс, 2013. – 752 с.: ил.

По теме:

  • Комментарии