使用 Shiro 保护 grails 中的服务

Question

我正在使用 grails 构建一个主要作为服务框架运行的应用程序。我的问题是：服务能否以与控制器相同的方式得到保护？

基于 uri 的示例：

class SecurityFilters {
  def filters = {
    all(uri: "/**") {
      before = {
        // Ignore direct views (e.g. the default main index page).
        if (!controllerName) return true
        // Access control by convention. 
        accessControl()
      }
    } 
  } 
}

Answer 1

我不知道 Shiro 插件是否支持此功能，但是 Acegi 插件< /a> 确实如此，尽管是以“实验”方式（无论这意味着什么）。

更新

正确阅读问题后，您似乎在问是否可以使用过滤器来保护服务。如果是这种情况，那么 Shiro 就有点无关紧要了，因为执行授权的是过滤器，而不是 Shiro。

因此，要回答您是否可以使用过滤器来保护服务的问题，答案是否定的，因为您只能从过滤器内访问控制器。但是，您可以使用 Groovy 元编程对服务执行 AOP 样式的方法拦截。

基本方法是：

• 对于每个服务，向 MetaClass 添加一个 invokeMethod 属性。
• 该属性的值应该是一个 Closure。这个闭包将拦截（即被调用）服务上调用的每个方法。
• 这个关闭应该
  • 执行安全检查
  • 授权成功则调用原方法，授权失败则抛出异常（或显示错误）

旁白

如果可能的话，我强烈建议使用经过验证的安全性插件（例如 Shiro、Acegi）来执行授权检查，而不是按照上述方式自行进行。