search

xingbaichao / parancoe

Automatically exported from code.google.com/p/parancoe
Other
1 stars 0 forks source link

To implement a new version of the Plugin Security #14

Open GoogleCodeExporter opened 8 years ago

GoogleCodeExporter commented 8 years ago 
Follow the chat (in Italian) about the features that the new plugin security 
should have:
- sarebbe molto bello averlo come plugin;

Problemi inerenti l'attuale plugin spring-security

- è troppo rigido e senza la possibilità di espandere facilmente il profilo 
utente;
- non ha incorporata la parte di amministrazione (jsp/controller);
- non usa abbastanza le funzionalità DAO il che spesso causa problemi con la 
sessione; ad esempio...se hai un pool di datasource pari a 5....e sbagli 5 
volte la password...l'applicazione cessa di funzionare, è il motivo per cui 
periodicamente mi tocca riavviare il server, perchè l'autenticazione non 
funziona più;

Il nuovo plugin:
- la cosa più importante è la flessibilità;
- deve essere possibile personalizzare facilmente la sicurezza ed è il motivo 
per cui sarebbe bene che fosse un plugin in modo da rimuoverlo completamente se 
occorre: tipo non usare spring security o avere dei meccanismi di 
autenticazione "strambi"tipo poter cambiare ruolo al volo in determinate 
sezioni dell'applicazione

Original issue reported on code.google.com by enricogi...@gmail.com on 30 Mar 2011 at 7:57

GoogleCodeExporter commented 8 years ago 
[deleted comment]
GoogleCodeExporter commented 8 years ago 
Features of the new security plugin based on spring-security 3:
- password on db encrypted
- new concept of group, therefore we have user-group-role, role is associated 
to group rather than user;
- use of lambico dao for the persistence layer, not more direct spring jdbc 
template;
- implementation of ACL;
- openID;
- To provide some security jsp like: login page, access-denied page, 
security-admin-page;
- configurable block user function after n attempts to access with wrong 
password

Original comment by enricogi...@gmail.com on 19 May 2011 at 2:00

GoogleCodeExporter commented 8 years ago 
The current way to invoke a filter from a HandlerInterceptor is this one, 
implemented in the classic parancoe plugin security:

 public boolean preHandle(HttpServletRequest req, HttpServletResponse res,
            Object handler) throws Exception {
        delegate.doFilter(req, res, new ParancoeFilterChain());

where ParancoeFilterChain is basically an empty implementation of FilterChain.
Is there a better and well known way to achieve this?
Springsecurity solution is based on Filters while the current parancoe plugins 
architecture solution is based on HandlerInterceptor. We want to avoid to 
define the filter section in the web.xml.
The main idea beside using the plugin is that it should work out of the box, it 
means you add it as jar in your webapp and it works. And we would like to keep 
this objective.

Original comment by enricogi...@gmail.com on 14 Oct 2011 at 5:19