Authorisation (JAAS?)

[Yankee]

Hallo,

mich würde interessieren, wie man am besten Mechanismen zur Authentifikation und Authorisation in einer Client/Server-Architektur einsetzt, wobei die beteiligten Subjekte vorher nicht abzusehen sind und die Rechte dynamisch vergeben werden können sollen.
Es geht vor allem auch darum, den Zugriff auf bestimmte Objekte benutzerspezifisch zu erlauben. Und wie kann zum Beispiel geregelt werden, welche Daten, gebunden an den eingeloggten User, dem Client bei einer Anfrage gesendet werden?

Mir scheint so, dass JAAS da doch recht steif designed ist. Ein eigenes LoginModule, das auf eine Datenbank zugreift, ist ja noch zu realisieren, aber gilt das auch für den angesprochenen Teil der Authorisation? Kann diese auch auf den Daten in einer DB zugreifen?

Gibt es vielleicht Open-Source Projekte, die eigene Lösungen anbieten? Ich habe leider nichts gefunden und jGuard scheint nur für Web-Anwendungen designed.

Vielen Dank für Eure Hilfe.

 

[Bleiglanz]

"Herr Huber darf auf Rechnungen zugreifen"

dafür JAAS, das ist schon OK


für die individuelle Geschichte (Herr Huber darf auf DIE Rechnung 123 zugreifen) gibts momentan überhaupt keine Unterstütztung, muss man von Hand ausprogrammieren

 

[Yankee]

Ok, das schien mir auch so. Allerdings tut sich mit dem Springframework und dessen AOP-Unterstützung ein vielleicht etwas komfortablerer Weg auf.

 

[Reth]

Hallo zusammen,

nun wärme ich diesen Thread nochmal auf (soll kein Hijacking sein, falls unerwünscht, bitte durch einen Mod entsprechend neu platzieren)!

Habe fast genau dasselbe Problem:

Will eine Benutzerverwaltung schreiben mit Rollenkonzept. Diese soll vorrangig für eine Webapplikation dienen, aber möglichst allgemein gültig gehalten werden.

Ein erster konzeptioneller Entwurf sieht die Vergabe von IDs an die möglichen relevanten Aktionen der Webanwendung vor. Die Kombination dieser Aktionen (und damit ihrer IDs) ergeben dann die entsprechenden Rollen.
Es sollen nach belieben neue Rollen aus der Kombination der Anwendungsaktionen generiert werden können und Benutzern sollen diese Rollen zugewiesen werden können (und ggf. noch einzelne Rechte).

Für die Umsetzung hab ich noch nichts probates (also Frameworks o.ä.) gefunden und JAAS scheint mir hier völlig deplatziert. Ich kenn mich mit JAAS nicht aus, aber nachdem was ich so gelesen habe, kann eine dynamische Anlage von Benutzern und Rollen damit wohl nicht realisiert werden (wenn sich ein solch dynamisch angelegter Benutzer an der Webanwendung anmelden will, müsste ja erst eine neue Policy erzeugt werden, bzw. der Applikationserver entsprechend konfiguriert werden und dann der Appserver bzw. der Anwendungskontext neu gestartet werden, oder?)!

Oder seh ich das falsch?

Meine Denke ist, dass ich bei ablegen aller Infos in entsprechenden DB-Tabellen die Verwaltung der Benutzer über eine Webanwendung machen kann, ebenso die Definition von Rollen und deren Zuordnung zu Benutzern.
Selbst die Anlage neuer Aktionen für Rollen ist damit möglich, ohne die auswertenden Webanwendung neu starten zu müssen, bzw. deren Implementierung zu ändern (es wird immer nur auf die in den Rollen kodierten IDs der Aktionen geprüft, Benutzer bekommen beim Anmelden ihre zugewiesenen Rollen und Rechte entsprechend geladen).

Habt ihr dazu konkrete technische Vorschläge bzw. ne Korrektur meiner Denke, da JAAS hier doch verwendbar ist (hab keinen Plan, wie man die dynamische Verwaltung der Rollen und Benutzer in JAAS abbilden könnte!?)?

Vielen Dank schon einmal
Ciao