Управление доступом на основе ролей на основе приложений

Question

Я работаю над внедрением службы авторизации на основе ролей под WS Liberty. Есть две основные цели:

• если пользователь без правильной группы пользователей пытается открыть ограниченный URL, показать страницу с ошибкой
• пользователь должен увидеть меню, в котором перечислены все страницы, доступные для него

Мой вопрос: есть ли лучшие практики для реализации этого поведения? Должен ли я создать первую часть в server.xml И вторую часть в соответствующем представлении? (таким образом, «логика» будет храниться в двух разных частях кода, и, например, если мне нужно добавить новый URL-адрес, я должен вставить его в два разных места)

Так что есть способ сохранить это сопоставление роли-URL в одном месте?

Спасибо, krisy

Answer 1

В вас приложении вы можете защитить ссылки проверки роли (псевдо-код, некоторые структуры имеют уже пользовательские теги для него):

if(request.isUserInRole("roleX")) { 
    // render menu item for roleX 
} 

По умолчанию, если пользователь уже зарегистрирован и пытается получить доступ к странице, которая ограничена для него, он получит 403 Not authorized, вы можете указать страницу ошибки для этого кода через конфигурацию web.xml.

В элементе server.xml через элемент Application binding вы предоставляете только сопоставление от ролей приложений к группам, определенным в реестре. В зависимости от типа реестра вы сможете добавлять/удалять пользователей в данную группу, предоставляя или отклоняя их, например, через server.xml или инструмент управления LDAP в случае реестра LDAP.