웹 애플리케이션은 스프링 보안을 기반으로합니다. 우리는 이미 SSO 공급자 (CAS)를 통한 인증을 처리합니다.XACML (또는 다른 정책 기반 솔루션)과의 Spring Security 통합
우리는 우리의 응용 프로그램 (역할 및 premisison)에 대한 처리 권한의 편리한 솔루션을 찾고 있습니다.
나는 XACML에 관해 읽었습니다. 그러나 스프링 보안 프레임 워크 내에서이를 구현하고 통합하는 실용적인 경험/예는 찾을 수 없었다.
누구나 그 경험이 있습니까?
감사합니다. 레이.
Asela는 대부분의 XACML 기반 인증 서버에 해당한다고 말합니다.
당신은 오픈 소스를 선택할 수 있습니다:
일부 XACML 2.0, 다른 공급 업체 공간에서 당신은 3.0
을 XACML 구현 : (독점)
면책 조항 : 나는 Axiomatics, 후자 작동합니다. 과거에 Spring Security Access Decision을 구현 한 샘플 PEP를 테스트했으며 정상적으로 작동합니다. Google의 PDP는 XACML의 REST 프로필에 따라 SOAP 웹 서비스 또는 REST를 통해 노출됩니다.
Spring Access Decision Manager에서 XACML PEP를 구현 하시겠습니까? 대신 유권자를 사용 하시겠습니까? 의무와 조언을지지 할 필요가 있습니까?
또한 Axiomatics에서 제공하는 AOP PEP를 사용할 수도 있습니다. 이번 주 목요일에 막 주제에 관한 웹 세미나가 있습니다. 세부 사항 here.
스프링 보안 프레임 워크에 대해 잘 모르겠습니다. 그러나 애플리케이션이 외부 SOAP 서비스를 호출 할 수 있다면 WSO2 Identity Server를 사용할 수 있습니다. WSO2 Identity Server의 PDP는 SOAP 기반 웹 서비스를 통해 노출 되었기 때문에 응용 프로그램을 사용하면 쉽게 호출 할 수 있습니다. 자세한 내용은 blog에서 찾을 수 있습니다.
나는 이것이 낡은 질문이지만, 최근 웹 세미나 인 "Enhancing Spring Security" (면책 조항 : 저는 Axiomatics에서 일하고 웹 세미나에서 패널리스트입니다.)이 질문에 대답하는 것이 유용 할 것이라고 생각했습니다.
v3에서 소개 한 SpEL (Spring Express Language)을 확장하여 사용자 정의 표현식을 구현하여 URL 및 UI (웹 표현식) 메소드에서 승인 결정을 위해 XACML PDP를 호출하는 방법을 설명합니다 (메소드 표현식) 레벨.