access control within RESTful service - 未名空间MITBBS历史存档

access control within RESTful service# Java - 爪哇娇娃

p*d2015-01-07 08:01

1 楼

Centos 5.5，root log in
mysql 5.0.77
奇怪mysql不用login直接就进去了。但是只能看见information_schema和test，看不见
mysql数据库。不能create database，只能对information_schema和test操作。
大侠们请指点。新手在线等。

m*g2015-01-07 08:01

2 楼

http://www.engadget.com/2010/02/17/wireds-tablet-app-goes-on-show-developed-on-air-heading-to-
th/

m*c2015-01-07 08:01

3 楼

大家新年好。
看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
grained，比如，account.create, account.retrieval, etc和我们的endpoints/
operations，比如如果只有，account.retrieval, 那就只能
../accounts GET, no POST
考虑如下
1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可
以被set up。
现有想法是XACML或者Apache shiro，不限于二者。前者好像听着更合适，可是现在似
乎是个dying technology；后者貌似多用于web UI，在stateless里好像还没啥应用。
现在的user认证是用Spring Security做的
有这方面经验的童鞋给指点一下成么？多谢大家

c*n2015-01-07 08:01

4 楼

你装了phpmyadmin没有？　如果装了，到privileges里看看。

【在 p*******d 的大作中提到】

: Centos 5.5，root log in
: mysql 5.0.77
: 奇怪mysql不用login直接就进去了。但是只能看见information_schema和test，看不见
: mysql数据库。不能create database，只能对information_schema和test操作。
: 大侠们请指点。新手在线等。

r*y2015-01-07 08:01

5 楼

上次这个录像被删掉了，让我这次再试试。。。
还是找不到录像

【在 m*****g 的大作中提到】

: http://www.engadget.com/2010/02/17/wireds-tablet-app-goes-on-show-developed-on-air-heading-to-
: th/

d*i2015-01-07 08:01

6 楼

no brainer, definitely Apache Shiro. Shiro can be used not only in web app,
but all cases where you need access control or authorization/authentication.
Also, it has a nice feature to be used along with RESTful web service. It
is even better than Spring Security IMHO.

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

p*d2015-01-07 08:01

7 楼

没装。好了。用mysqld_safe重设了一个。谢了。

【在 c****n 的大作中提到】

: 你装了phpmyadmin没有？　如果装了，到privileges里看看。

m*g2015-01-07 08:01

8 楼

I can watch it just fine, make sure copy the entire url to your browser, it
been chopped by the forum when I
post it
http://www.engadget.com/2010/02/17/
wireds-tablet-app-goes-on-show-developed-on-air-heading-to-th

【在 r****y 的大作中提到】

: 上次这个录像被删掉了，让我这次再试试。。。
: 还是找不到录像

g*g2015-01-07 08:01

9 楼

You are already using spring security for authentication, I failed to see
why you can't use its role and permission ACL. All you need to implement is
a PermissionEvaluator and you can certainly load a file/DB table for that.

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

r*y2015-01-07 08:01

10 楼

啊，原来是公司proxy的问题
在家可以看

it

【在 m*****g 的大作中提到】

: I can watch it just fine, make sure copy the entire url to your browser, it
: been chopped by the forum when I
: post it
: http://www.engadget.com/2010/02/17/
: wireds-tablet-app-goes-on-show-developed-on-air-heading-to-th

F*n2015-01-07 08:01

11 楼

Use Spring Security

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

a*n2015-01-07 08:01

12 楼

请问大牛，如何学习rest web service, 有什么资料可以推荐吗？
thanks

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

m*c2015-01-07 08:01

13 楼

大家新年好。
看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
grained，比如，account.create, account.retrieval, etc和我们的endpoints/
operations，比如如果只有，account.retrieval, 那就只能
../accounts GET, no POST
考虑如下
1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可
以被set up。
现有想法是XACML或者Apache shiro，不限于二者。前者好像听着更合适，可是现在似
乎是个dying technology；后者貌似多用于web UI，在stateless里好像还没啥应用。
现在的user认证是用Spring Security做的
有这方面经验的童鞋给指点一下成么？多谢大家

d*i2015-01-07 08:01

14 楼

no brainer, definitely Apache Shiro. Shiro can be used not only in web app,
but all cases where you need access control or authorization/authentication.
Also, it has a nice feature to be used along with RESTful web service. It
is even better than Spring Security IMHO.

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

g*g2015-01-07 08:01

15 楼

You are already using spring security for authentication, I failed to see
why you can't use its role and permission ACL. All you need to implement is
a PermissionEvaluator and you can certainly load a file/DB table for that.

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

F*n2015-01-07 08:01

16 楼

Use Spring Security

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

a*n2015-01-07 08:01

17 楼

请问大牛，如何学习rest web service, 有什么资料可以推荐吗？
thanks

授权

【在 m******c 的大作中提到】

: 大家新年好。
: 看版里牛人多，想问个RESTful service 里的授权问题。需要在已有的RESTful
: service里加入用户授权，输入是user认证后的详细set of permissions，很fine－
: grained，比如，account.create, account.retrieval, etc和我们的endpoints/
: operations，比如如果只有，account.retrieval, 那就只能
: ../accounts GET, no POST
: 考虑如下
: 1. 授权应是centralized，给每个已有的class/method加授权annotation不太可取
: 2. 现在只考虑把permissions map 到 URL/operations，不考虑单field的output的授权
: 3. 最理想是能做成一个plugin－able的component，输入一个config file，mapping可

m*c2015-01-07 08:01

18 楼

谢谢大家的回复。我们最后用了apache shiro，它里面有个HttpMethod＊Filter，把
HttpMethod 自动map成 CRUD operation，然后可以config path URL mapping as
／app1/** myFilter[privilege1]
／app2/** myFilter[privilege2]
这样如果有request as
POST ／app1/**
shiro就会把它的 privilege requirement转化成
privilege1:create
如果user有这个privilege，就go，不然blocked。
嗯，我觉得学RESTful 最好看HTTP specification。
现在很多framework 都提供RESTful service， apache CXF， resteasy 啥的

b*72015-01-07 08:01

19 楼

Mark涓笅

C*g2015-01-07 08:01

20 楼

There are tons of REST tutorial online including hundreds in youtube.
http://www.drdobbs.com/web-development/restful-web-services-a-t

【在 a****n 的大作中提到】

: 请问大牛，如何学习rest web service, 有什么资料可以推荐吗？
: thanks
:
: 授权