# Security-Konzept



## squirr (6. Jun 2009)

Hallo zusammen!

Situation: Es gilt eine Webanwendung zu entwickeln. Diese soll von einer Firma mit verschiedenen Standorten genutzt werden. Innerhalb dieser Standorte gibt es verschiedene "Anwendungsmodule". Beispielsweise für Vertrieb oder Einkauf.

Derweil ist es so, das linkseits ein Tree-Menü ist, das in etwa so aussieht:

+ Standort1
|+ Vertrieb
|- Unterpunkt
|- Einkauf
|- Unterpunkt
|- Unterpunkt
+ Standort2
|-...

Forderung: Die Anzahl und Namen der Standorte ist variable genauso wie die Module. Ein Mitarbeiter soll in ein oder mehreren Standorten mit verschiedenen Rechten auf die Module zugreifen können.

Problem: Mir ist es möglich den Benutzer mit Zuordnungen zu Standort, den jeweiligen Modulen darin und den entsprechenden Rechten in diesem Modul in einer Datenbank abzulegen.
Leider sehe ich keine Möglichkeit wie ich diese Sachen sinnvoll machen kann, da die Rechte für jeden Nutzer individuell sein können.
Ich kann durch die rendered-Attribute beispielsweise Buttons/Links ausblenden, die ein User nicht nutzen darf. Aber es ist mir nicht klar, wie ich den Zugriff auf verschiedene Seiten verhindern kann.

Technologien: JSF, RichFaces, Facelets, Oracle TopLink Essentials, Apache Tomcat

Frage: Habt ihr Erfahrung mit so einem Problem, Lösungsansätze oder Hinweise? Ich bin für alles dankbar...

Danke!
--squirr


----------



## maki (6. Jun 2009)

Stickwort Container Managed Security, JAAS.
Dann kann man Resourcen dann deklarativ unterschiedlichen Rollen erlauben.
JSF Implementierungen unterstützen dann schon oft die Auswertung der Rollen.


----------



## squirr (8. Jun 2009)

Danke, das werde ich mir mal genauer ansehen!

--squirr


----------

