0

在我的 grails 应用程序中使用简单的过滤器进行登录和安全。现在我需要根据登录的用户角色使用不同的登录凭据连接到 db - test1。如果管理员登录获得写入权限,那么登录和如果用户角色登录则只读。如何用过滤器实现它?

数据源.groovy

 environments {
 development {

/*IF LOGIN 'ADMIN' - SHOULD CONNECT USING THIS
 dataSource {
           username = 'admin'
           password = 'Guard1an'
           url = "jdbc:jtds:sqlserver://test1:1433;
           MVCC=TRUE"
           dbCreate = 'update'
       }
/*IF LOGIN 'USER' - SHOULD CONNECT USING THIS*/

 dataSource {           
              dbCreate = "update" // one of 'create', 'create-drop','update'
              username = 'user'
              password = 'tesoyear'
              url = "jdbc:jtds:sqlserver://test1:1433;
        }
dataSource_wldb1 {
            username = 'gdx'
            password = 'pinoil'
            url = "jdbc:jtds:sqlserver://wldb:1433/IVR_GUARDIAN"
            dbCreate = 'update'
    }
}

安全过滤器.groovy

   class SecurityFilters {
   def filters = {
   loginCheck(controller: 'load', action: '*') {
       before = {
          if (!session.user && !actionName.equals('login')) {
              flash.message = "User is not Logged in.Please login "
              redirect(controller:'user', action: 'index')
              return false
           }
       }
    }

  }
}
4

1 回答 1

0

如果您想保护控制器,使用 @Secured 注释应该足够(并且更好)。这允许您通过指定所需的用户角色来保护整个控制器或单个方法。查看http://blog.springsource.org/2010/08/11/simplified-spring-security-with-grails/了解更多详情。下面还有一个例子。

如果您需要更复杂的安全性,请检查 spring-security-acl 插件,它允许授予特定数据库对象的权限。

package org.example

import grails.plugins.springsecurity.Secured

class PostController {

    @Secured(['ROLE_USER'])
    def followAjax = { ... }

    @Secured(['ROLE_USER', 'IS_AUTHENTICATED_FULLY'])
    def addPostAjax = { ... }

    def global = { ... }

    @Secured(['ROLE_USER'])
    def timeline = { ... }

    @Secured(['IS_AUTHENTICATED_REMEMBERED'])
    def personal = { ... }
}
于 2012-08-27T18:55:14.903 回答