Chciałbym dodać trochę bezpieczeństwa do mojej małej usługi napisanej na Grails: ograniczenie przez IP, wymuszenie HTTPS i może coś więcej później.
Dodałem więc zależność sprężyna-bezpieczeństwo-rdzeń
compile "org.grails.plugins:spring-security-core:2.0-RC4"
do mojego build.gradle i coś takiego
grails.plugin.springsecurity.secureChannel.definition = ["/**": "REQUIRES_SECURE_CHANNEL"]
grails.plugin.springsecurity.ipRestrictions = ["/**": ["127.0.0.1", "%MY-OFFICE-IP-HERE%"]]
do mojej Config.groovy.
Obsługa jest dość prosta, ma tylko dwakontrolery, które zwracają niektóre dane w formacie JSON. Ale wtyczka Spring-Security-core domyślnie dodaje uwierzytelnianie użytkownika: stronę logowania, przechwytywacz logout, uchwyt odmowy dostępu i tak dalej. W tej chwili nie potrzebuję takiej funkcjonalności i chcę ją wyłączyć. Jak mogę to zrobić?
Odpowiedzi:
0 dla odpowiedzi № 1Po prostu dodaj to do konfiguracji Config.groovy dla środowiska programistycznego:
grails.plugin.springsecurity.active = false
0 dla odpowiedzi nr 2
więc mówisz tylko o ograniczeniu IP, ale nie o rolach, zabezpieczeniu kontrolerów / metodach czy o rzeczywistym bezpieczeństwie dla twojej aplikacji, ponieważ jest to w DMZ ???
Wtedy nie chcesz Spring-security, po prostu zaimplementuj coś takiego ... Jak uzyskać adres IP klienta w kontrolerze Grails?
wykryj IP w filtrze i odrzuć, jeśli nie pasuje do akceptowalnych adresów IP w konfiguracji