誰かがアカウントを登録したり、ログインしたり、ログアウトするためのコードを春に用意することはできますか?Grails security without spring
答えて
これはコード作成サービスではありませんが、私はあなたに最高のアルゴリズムを提供したいと思います。
明らか
- 、ユーザードメイン、ロールのテーブルを作成し、各ユーザーとしてそれらを結合するには、多くの役割を持つことができます。
- 登録は簡単です。必要なすべての属性を含むフォームを作成するだけで、パスワードは隠されています。 はプレーンテキストとして保存しないでください。パスワードは常により前に暗号化してください。 Bcrypt(特にgrails用)またはRSA、BlowfishまたはTripple DESを使用する必要があります。
- ログインも非常に簡単です。ユーザーがユーザー名とパスワードを送信します。パスワードを暗号化し、そのユーザー名とパスワードのハッシュを持つユーザーをデータベースで検索します。もしあれば、に入れてください。
- 最も難しい部分は、許可されていないユーザーからのページを保護することです。ユーザのクッキーをチェックし(セッションハッシュを保存する)、コントローラのメソッドに追加するカスタムアノテーションを作成することができます。 See this post。
- 作成したものを削除し、Springセキュリティを使用します。非常に多くのGrailsアプリケーションで使用されている理由があります。そしてそれはかなりカスタマイズ可能です。またはShiro plugin。それぞれにはそれぞれ長所と短所があります。
を使用してください。2.「bcrypt」などのKDFを使用してください。 'scrypt'、...パスワードを保存する(ハッシュ)。 5. springsecurity/shiro/...を追加することで、何をしているのか分からずに手がかりなしで自分自身を書くことと同じように、アプリケーションのセキュリティにとって危険です。 Grailsでプラグインを使用するとすごく簡単に見えますが、それらから分岐したり独自に設定する必要がある場合は、すべてのギアがどのように回転するかを自在に把握するのは簡単ではありません。 – cfrick
@cfrickあなたは自分のセキュリティを作成することはspring secを実装するよりも安全だと思いますか?私はそれについて知らない。特に –
のコードを頼む必要があるなら、それは私が意味するものではありません。銀の弾丸はありません。セキュリティを設定し、それについての手がかりを持たないことは、ツール、フレームワーク、プラグインなどにかかわらず、危険な領域です。 – cfrick
私たちはコード作成サービスではありません。 –
https://groups.google.com/forum/#!forum/grails-dev-discussに投稿するか、http://grails.slack.com/ –