Minha contribuição - Controle de acesso VRaptor 3

Galera, a classe RestrictionChecker é a classe responsável por verificar se há restrições e, se houver, verificar se o usuário em questão possui permissão para acessar os recursos.
A classe encontra-se no jar que enviei, então vcs podem criar um ComponentFactory para essa classe e passá-la no construtor do Interceptor. Ou se quiserem, podem dar new quando forem usá-la tbm…quem manda é o freguês

O método que verifica se há restrições no método é o hasRestriction. O método accepts do Interceptor ficaria assim:

@Override
	public boolean accepts(ResourceMethod method) {
		//this.restrictionChecker = RestrictionChecker(); ***prefiram injetar o objeto...é mais elegante! ^^
		return this.restrictionChecker.hasRestriction(method.getMethod());
	}

O hasRestriction recebe um java.lang.reflect.Method, e não um ResourceMethod do VRaptor!!!

Feito isso, se houver restrição, então vc deve checar se o usuário logado está restrito. O responsável por isso é o método checkRestrictions da RestrictionChecker (derr rs)…
Ele recebe dois parâmetros: java.lang.reflect.Method, e a interface br.com.bronx.accesscontrol.interfaces.Login. Essa interface é implementada pelo usuário. Já explico.

O método checkRestrictions lança uma Exception, a RestrictionAnnotationException. Essa exceção é lançada quando as annotations são utilizadas indevidamente. As mensagens são explicativas e ajudam muito a resolver o problema.

O retorno do método checkRestrictions é um objeto do tipo RestrictionResult. Esse objeto possui dois atributos: um boolean informando se o usuário tem ou não permissão de acesso (private boolean restricted) e uma String contendo o destino a ser seguido, caso o acesso seja negado (private String destination). O atributo destination guarda o caminho informado na annotation @AccessDenied. Pode ser tanto o loginPage ou o accessDenied, dependendo do motivo da restrição (usuário não está logado ou não possui as credenciais para acessar o recurso).

O Interceptor que utilizo aqui é esse em anexo.

Agora, o atributo Login.

Essa interface Login é uma interface que informa se o usuário está ou não logado no sistema.

Ela descreve 4 métodos:

public boolean isLoggedIn();
	public void setLoggedIn(boolean loggedIn);
	public Profile getProfile();
	public void setProfile(Profile profile);

O método setLoggedIn(boolean loggedIn) geralmente é chamado no momento do login. Após realizar com sucesso o login do usuário, esse valor é setado como true, indicando que o usuário está logado.
Além disso, o setProfile(Profile profile) define o profile do usuário logado, que contém os papéis (roles) e nível de acesso do referido usuário.
Profile é a segunda e última interface a ser implementada pelo desenvolvedor. Possui apenas dois métodos:

public List<String> getRoles();
	public int getAccessLevel();

Serve basicamente para a ferramenta conseguir extrair os dados do usuário.
Preferi utilizar uma lista de String ao invés de uma lista de Roles para ser o menos intrusivo possível no código do cara. Me lembraria o SelectItem do JSF!

Em anexo, implementação da interface Login e implementação da interface Profile, a título de exemplo. Tudo bem simples e comentado.

Uma possível maneira de usá-los, seria no método de login:

//Na vida real, o método receberia um Usuario 
	public void logar(String login, String senha){
		//Busca o usuário com base nos dados informados, por exemplo
		login.setLoggedIn(true);//se usuário logou com sucesso
		login.setProfile(usuarioLogado);//idem
		//outras operações
	}

Resumindo: passem um Login para o método checkRestrictions da classe RestrictionChecker. A forma como vc vai implementar é irrelevante para a ferramenta.
É comum ocorrer umas NullPointerExceptions caso as interfaces não tenham sido implementadas adequadamente. Mas isso foge do controle da ferramenta.

É isso.

Testem aí. Se tiverem dificuldades, estamos aí para ajudar.
Depois de tudo configurado adequadamente, não tive problemas na utilização desse solução.
Espero que entendam o que escrevi e que façam bom proveito de tudo. hehe

Abs!

Muito bom, bronx =)

Isso deixa a autenticação/autorização bem fácil de usar…

No entanto, tenho dúvidas e sugestões:

• O usuário da ferramenta precisa implementar quais interfaces? É suficiente que a entidade Usuario dele implemente Profile? ou ele tem que implementar o loginControl tb?
• O interceptor da última mensagem está dentro do jar? Se adicionarmos o pacote br.com.bronx na configuração do VRaptor no web.xml, ele conseguiria ler as suas classes tranquilamente…
• Tem algum jeito de setar páginas padrão pra login e para accessDenied? a meu ver seriam (quase) sempre as mesmas… qto menos configuração melhor

Além disso, se te interessa colocar esse seu código no código principal do vraptor, adoraríamos a contribuição =) Se não, tudo bem, podemos linkar para o seu projeto da página principal do VRaptor, para todo mundo que precisar de controle de acesso…

Abraços e parabéns =)

Hey man, valeu!!
Estava com medo de receber um “que merda”, ou “isso nem ajuda tanto”…hehehe

Quanto aos teus questionamentos:

• O desenvolvedor teria que implementar as interfaces Login (para passar pro RestrictionChecker) e Profile (para passar para Login). Mas agora, posto da maneira que vc colocou, seria mais interessante ele implementar somente uma interface, não? Alteração [muito] simples. rs
• Essas classes que enviei separadamente não estão no jar. Seriam implementadas pelo usuário. Podemos discutir se deixamos ela (Interceptor) no jar ou não, pois caso ela esteja dentro, não sei como o Interceptor receberia a implementação do desenvolvedor da interface Login ou de alguma outra que possamos criar, caso alteremos o código…
• Esse recurso (páginas padrões) eu acabei não considerando, e pretendia deixar para a próxima versão. Mas é xuxú no palito, [muito mais] simples de alterar. ^^

Postar isso tudo aqui já mostra que quero deixar essa ferramenta a disposição da galera.
Colocá-la dentro do VRaptor seria style. Pouparia algum trabalho para a galera.

Vamos conversar sobre a melhor maneira de fazer isso.
Aliás, vamos discutir todos esses pontos que vc levantou.
Mas antes, seria interessante que você (e todos que quiserem ^^) testasse(m) a parada. Para ter um feeling do que foi feito, como funciona, e de possíveis melhorias além dessas que você sugeriu. As sugestões da galera são muito importantes nessas horas.

Mas enfim, usem! Não fiz pra ficar empoeirando no meu HD…rs

se vc receber o Login no construtor, e a implementação dele estiver anotada com @Component, o VRaptor vai saber injetar sem problemas, mesmo que esteja tudo dentro do jar…

Por enquanto, vc poderia colocar o código que vc já tem no github? http://github.com
Pra isso vc precisa saber mexer um pouco no GIT… tutoriais em http://github.com/guides

[]'s

Olá Bronx! Primeiramente parabéns pelo projeto. Ele vem a simplificar muito o controle de acesso da aplicação e já de início contando com recursos como roles e níveis de acesso.

Gostaria de fazer uma observação sobre a interface Profile. Ela me obriga a implementar o método:

Isto me complicou a principio, pois eu gostaria que estas roles fossem implementadas numa outra classe, o que facilitaria a persistência das mesmas no banco de dados, ou mesmo num diretorio LDAP.

Minha sugestão seria algo como:

Onde UserRole seria uma interface bem simples com apenas um método como:

Fica ai a sugestão. E mais uma vez parabéns!

Então Lucas, não tinha certeza quanto ao comportamento do VRaptor / Spring quanto à injeção de interfaces.

Sendo assim, fica simples deixar tudo pronto dentro do jar.
Só dificultaria caso o usuário precisasse tomar alguma ação mais específica caso o acesso fosse negado. Sei lá, gravar um log, ou algo do tipo. Mas aí ele poderia criar o próprio interceptor sem problemas.

Pensei em acrescentar os métodos setDefaultLoginPage(String defaultLoginPage) e setDefaultAccessDeniedPage(String defaultAccessDeniedPage) na classe RestrictionChecker. Assim, antes de executar o método checkRestrictions(…), o desenvolvedor informaria à ferramenta quais são as páginas de login e acesso negado padrões. Hard-coded, .properties…whatever. Ele só teria q fazer isso antes da verificação. E ainda assim as regras de utilização da annotation @AccessDenied seriam válidas. ^^
Mas isso só seria viável caso o Interceptor não esteja dentro do jar. Para que funcionasse com ele (Interceptor) dentro do jar, teríamos que passar essas informações através do Login que seria injetado…

Anyway, vou colocar a parada no github. Essa semana dou uma estudada e já lanço tudo lá.
Aliás, requisitos não funcionais: sugerem algum nome pro projeto?

Por ora, temos essas melhorias a serem feitas: páginas de login e acesso negado defaults, Interceptor padrão dentro do jar e a obrigatoriedade de implementar apenas uma interface, right?? Continuem sugerindo, e por favor, TESTEM!!

Hail sobreira!

Cara, juro que pensei nesse esquema de List, até porquê na implementação da ferramenta os papéis extraídos da annotation @Roles são armazenados num List. Porém, pensei que isso deixasse a implementação mais acoplada ainda à ferramenta. Fica mais simples devolver somente a lista com os nomes dos papéis.

Mas brother, a grande sacada do uso de interfaces é que ela fica totalmente independente da implementação. O que quero dizer, é que você pode implementar esse esquema que vc disse sem o menor problema. Faça da forma que vc propôs, criando sua própria classe UserRole e criando seu List. Na implementação do getRoles, poderia fazer algo do tipo:

public List<String> getRoles() {
                List<String> stringRoles = new ArrayList<String>();
                for (UserRole userRole : this.userRoles) {
                      stringRoles.add(userRole.getRoleName());
                }
                return stringRoles;
        }

Enfim, só uma sugestão. Mas você pode fazer da maneira que quiser!!!
Por favor, teste a parada e dê um feedback. É minha primeira contribuição em algum projeto open-source, então as opiniões são extremamente importantes para mim. :thumbup:

Valeu galera. Novamente: TESTEM! rs

[]'s

Tem um jeito mais legal: anotar as lógicas de loginPage e accessDeniedPage:

@Resource
public class LoginController {
    //...
    @LoginPage
    public void login() {...}

    @AccessDeniedPage
    public void accessDenied() {...}
}

Tem como ler isso no startUp da aplicação e configurar sua ferramenta =)
Só mexer um pouquinho com a api interna do VRaptor, posso te ajudar com isso =)

Mesmo que a implementação do Login esteja fora do jar, o VRaptor consegue injetar sem problemas… A única coisa importante é que o Interceptor seja lido e gerenciado pelo vraptor, não importam nem onde ele está, nem onde as dependências dele estão…

bom… VAuth (VRaptor Authentication & Authorization), VAAS (VRaptor Authentication & Authorization System)…
mas acho que um nome mais aleatório seria legal tb…

Parabéns pela iniciativa Bronx.
Só uma dúvida, ele precisa de alguma lib fora as que vem com o VRaptor?
Estou testando aqui mas ao quando anoto a classe AccessControllerInterceptor com @Intercepts o sistema retorna o seguinte erro:

SEVERE: Servlet.service() for servlet default threw exception
org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'accessControllerInterceptor' defined in file [/Users/danielkist/Documents/workspace/.metadata/.plugins/org.eclipse.wst.server.core/tmp0/wtpwebapps/loja/WEB-INF/classes/testes/AccessControllerInterceptor.class]: Unsatisfied dependency expressed through constructor argument with index 1 of type [br.com.bronx.accesscontrol.restriction.RestrictionChecker]: : No matching bean of type [br.com.bronx.accesscontrol.restriction.RestrictionChecker] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}; nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No matching bean of type [br.com.bronx.accesscontrol.restriction.RestrictionChecker] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}
	at org.springframework.beans.factory.support.ConstructorResolver.createArgumentArray(ConstructorResolver.java:698)
	at org.springframework.beans.factory.support.ConstructorResolver.autowireConstructor(ConstructorResolver.java:192)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.autowireConstructor(AbstractAutowireCapableBeanFactory.java:984)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBeanInstance(AbstractAutowireCapableBeanFactory.java:886)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:479)
	at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:450)
	at org.springframework.beans.factory.support.AbstractBeanFactory$2.getObject(AbstractBeanFactory.java:328)
	at org.springframework.web.context.request.AbstractRequestAttributesScope.get(AbstractRequestAttributesScope.java:43)
	at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:324)
	at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:193)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.getBeansOfType(DefaultListableBeanFactory.java:385)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.getBeansOfType(DefaultListableBeanFactory.java:375)
	at org.springframework.context.support.AbstractApplicationContext.getBeansOfType(AbstractApplicationContext.java:1069)
	at org.springframework.beans.factory.BeanFactoryUtils.beansOfTypeIncludingAncestors(BeanFactoryUtils.java:221)
	at br.com.caelum.vraptor.ioc.spring.VRaptorApplicationContext.getBean(VRaptorApplicationContext.java:240)
	at br.com.caelum.vraptor.ioc.spring.SpringBasedContainer.instanceFor(SpringBasedContainer.java:58)
	at br.com.caelum.vraptor.util.collections.Functions$1.apply(Functions.java:32)
	at br.com.caelum.vraptor.util.collections.Functions$1.apply(Functions.java:30)
	at com.google.common.collect.Lists$TransformingRandomAccessList.get(Lists.java:431)
	at java.util.AbstractList$Itr.next(AbstractList.java:345)
	at com.google.common.collect.Iterators$7.computeNext(Iterators.java:602)
	at com.google.common.collect.AbstractIterator.tryToComputeNext(AbstractIterator.java:135)
	at com.google.common.collect.AbstractIterator.hasNext(AbstractIterator.java:130)
	at com.google.common.collect.Lists.newArrayList(Lists.java:131)
	at com.google.common.collect.Collections2$FilteredCollection.toArray(Collections2.java:219)
	at br.com.caelum.vraptor.interceptor.DefaultInterceptorRegistry.interceptorsFor(DefaultInterceptorRegistry.java:50)
	at br.com.caelum.vraptor.interceptor.InterceptorListPriorToExecutionExtractor.intercept(InterceptorListPriorToExecutionExtractor.java:42)
	at br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	at br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	at br.com.caelum.vraptor.interceptor.FlashInterceptor.intercept(FlashInterceptor.java:80)
	at br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	at br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	at br.com.caelum.vraptor.interceptor.ResourceLookupInterceptor.intercept(ResourceLookupInterceptor.java:67)
	at br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	at br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	at br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:48)
	at br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	at br.com.caelum.vraptor.core.DefaultRequestExecution.execute(DefaultRequestExecution.java:62)
	at br.com.caelum.vraptor.VRaptor$1.insideRequest(VRaptor.java:91)
	at br.com.caelum.vraptor.ioc.spring.SpringProvider.provideForRequest(SpringProvider.java:55)
	at br.com.caelum.vraptor.VRaptor.doFilter(VRaptor.java:88)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:233)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:191)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:128)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:293)
	at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:849)
	at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:583)
	at org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:454)
	at java.lang.Thread.run(Thread.java:637)
Caused by: org.springframework.beans.factory.NoSuchBeanDefinitionException: No matching bean of type [br.com.bronx.accesscontrol.restriction.RestrictionChecker] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.raiseNoSuchBeanDefinitionException(DefaultListableBeanFactory.java:896)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:765)
	at org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:680)
	at org.springframework.beans.factory.support.ConstructorResolver.resolveAutowiredArgument(ConstructorResolver.java:771)
	at org.springframework.beans.factory.support.ConstructorResolver.createArgumentArray(ConstructorResolver.java:691)
	... 52 more

[]'s

Daniel

yorgan, tenta colocar isso no seu web.xml:

<context-param>
    <param-name>br.com.caelum.vraptor.packages</param-name>
    <param-value>br.com.bronx</param-value>
</context-param>

se já tiver um param com esse nome, coloque o valor acima, separado por ; sem espaços

Não deu certo.
Mas a classe RestrictionChecker não deveria estar anotada como @Component?

[]'s

Daniel

É sempre que precisamos de algo relacionado a perfil de acesso sempre acaba vindo o cliente e suas loucuras

“que tal perfil pode fazer isso mais não pode fazer aquilo e ele também é gerente mais esse perfil era o perfil de administrador aquilo ,mas ainda tem que quem era administrador nao pode fazer aquilo mais a nao ser que pelo menos blablabla”

o cliente te passa a regra de negocio mais cabeluda do mundo ligado ao perfil de acesso que nem sempre o pensamento “hierarquia” resolve…

Parabens pela iniciativa …para quem ta começando pensar num metodo de implementação de perfil é sempre complicado…

Vo postar um modelo bem simples que eu uso a mais de 5 anos pra agregar mais ao topico e que sempre me atendeu em TODOS os caso tanto pra criação,quanto pra mudança e o legal é que ele desacopla seu sistema totalmente das hierarquias de acesso ele nao usa o velho roles que pra mim sempre foi algo que mais atrapalhou do que ajudou

ele consiste em 2 classes(pensando que no meu caso sempre utilizo banco de dados para esse acesso,pra outros casos como ldap por exemplo seria pouca mudança a ser feita) vamo lá

então vão ser 2 classes entidades (3 tabelas de banco) , 2 interceptor , 2 anotações
lembrando que estou postando exemplo com o hibernate

Acao.java

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;
import javax.persistence.Table;

@Entity
@Table(name="acoes")
public class Acao {	
	@Id
    @GeneratedValue
    @Column(name="aco_id")
    Long id;
	@Column(name="aco_titulo")
	String titulo;
	
	public Long getId() {
		return id;
	}
	public void setId(Long id) {
		this.id = id;
	}
	public String getTitulo() {
		return titulo;
	}
	public void setTitulo(String titulo) {
		this.titulo = titulo;
	}
	
}

Perfil.java

import java.util.List;

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;
import javax.persistence.JoinColumn;
import javax.persistence.JoinTable;
import javax.persistence.ManyToMany;
import javax.persistence.Table;

import org.hibernate.annotations.Fetch;
import org.hibernate.annotations.FetchMode;


@Entity
@Table(name="perfil")
public class Perfil {
	@Id
    @GeneratedValue
    @Column(name="per_id")
	Long id;
	@Column(name="per_titulo")
	String titulo;
	
	
	@ManyToMany(cascade = {javax.persistence.CascadeType.ALL})
	@JoinTable(   
            name="acesso",   
            joinColumns=@JoinColumn(name="per_id", referencedColumnName="per_id"),   
            inverseJoinColumns=@JoinColumn(name="aco_id", referencedColumnName="aco_id")   
        )  
    @Fetch(FetchMode.JOIN) 
	private  List<Acao> acoes;
	

	public Long getId() {
		return id;
	}

	public void setId(Long id) {
		this.id = id;
	}

	public String getTitulo() {
		return titulo;
	}

	public void setTitulo(String titulo) {
		this.titulo = titulo;
	}

	public List<Acao> getAcoes() {
		return acoes;
	}

	public void setAcoes(List<Acao> acoes) {
		this.acoes = acoes;
	}	
	
}

Beleza… explicando as classe eu sempre falo que um determinado perfil pode realizar x acoes …
a ideia é exatamente igual ao pensamento
a pessoa pode fazer isso e isso mais num pode fazer aquilo , se amanha muda fica facil pq apenas retiro aquela ação daquele determinado perfil
que resolve o problema para o PERFIL todo diferente se amanha acontece de mudar apenas uma regra para esse perfil que va entrar em conflito apenas crio outro perfil com as mesmas ações diferenciando o que pode o nao fazer a mais ou a menos…

vamo pensar em exemplo prático vamo lá cadastro de cliente…

vamos supor que o seu sistema contenha 6 tipo de ações diferentes a serem feitas com um cliente

Poder listar
Poder inserir
Poder alterar
Poder desativar
Poder deletar
Poder ver detalhes sobre o cliente

são ações isoladas…ou seja ele pode ou não pentencer a um perfil de acesso ou a mais de 1 correto??

agora chega o cliente e te fala entao
o admin pode fazer tudo ok ??

ai a gente
Perfil : admin
*Poder listar
*Poder inserir
*Poder alterar
*Poder desativar
*Poder deletar
*Poder ver detalhes sobre o cliente

ai ele fala o gerente pode fazer quase tudo so num pode deletar do banco mas pode desativar

ai a gente
Perfil : gerente
*Poder listar
*Poder inserir
*Poder alterar
*Poder desativar
*Poder ver detalhes sobre o cliente

se amanha aparece uma regra nova com funcionalidade nova ou alguma funcionalidade ja implementada se divida em pontos distindos em duas
imagine que voce monte uma listagem que exiba dados em valores ai o cliente te pede olha esse valor ai tem que ser colocado no perfil ltamem se ele pode ver e gerente não pode ver mais diretor pode blz?

ai a gente cria a ação de poder ver valores e atribui esse poder só a quem deve…assim falando parece ser algo complicado…mas vamos continuar

pra exemplificar vamos fazer uns inserts no banco

//Primeiro voce cadastra todas as ações que seu sistema possui
Acao a1=new Acao();
a1.setTitulo("Listar clientes");
Acao a2=new Acao();
a2.setTitulo("Inserir clientes");
Acao a3=new Acao();
a3.setTitulo("Alterar clientes");
Acao a4=new Acao();
a4.setTitulo("Desativar clientes");
Acao a5=new Acao();
a5.setTitulo("Deletar clientes");
Acao a6=new Acao();
a6.setTitulo("Visualizar detalhes de cliente ");
.
.
.
.
//continuando com todas as ações possiveis

//Ai vamos cadastrar um perfil de exemplo
Perfil gerente=new Perfil();
gerente.setTitulo("Gerente");
List<Acao> acoes=new ArrayList<Acao>();
acoes.add(a1);
acoes.add(a2);
acoes.add(a3);
acoes.add(a4);
acoes.add(a6);
gerente.setAcoes(acoes);

//ai manda salvar no hibernate talz isso fazendo na mão eu uso uma interface que ja faz esse crud pra facilitar

//Beleza perfil criado agora vamos aos interceptors e anotações

primeiro as anotações
NotCheckSession.java

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD,ElementType.TYPE})
public @interface NotCheckSession {}

VerifyAccess.java

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD,ElementType.TYPE})
public @interface VerifyAccess 
{
	int action();
	
}

e finalmente os dois interceptor um primeiro que intercepta todos os recursos pensando que para fazer algo seu usuario TEM que estar logado

AuthenticationInterceptor.java

import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.ArrayList;
import java.util.List;

import br.com.caelum.vraptor.InterceptionException;
import br.com.caelum.vraptor.Result;
import br.com.caelum.vraptor.core.InterceptorStack;
import br.com.caelum.vraptor.interceptor.Interceptor;
import br.com.caelum.vraptor.resource.ResourceMethod;
import br.com.caelum.vraptor.view.Results;
import br.com.jslsolucoes.granchef.annotations.NotCheckSession;
import br.com.jslsolucoes.granchef.controllers.UsuarioController;
import br.com.jslsolucoes.granchef.dao.UsuarioDao;
import br.com.jslsolucoes.granchef.models.Acao;
import br.com.jslsolucoes.granchef.models.Usuario;
import br.com.jslsolucoes.granchef.others.MySession;


public class AuthenticationInterceptor implements Interceptor {
	MySession sessao;
	Result result;
	UsuarioDao dao;
	public AuthenticationInterceptor(MySession sessao,Result result,UsuarioDao dao)
	{
		this.result=result;
		this.sessao=sessao;
		this.dao=dao;
	}
   
    //Verifica se a anotação @NotCheckSession está presente ..por exemplo no seu metodo login ele iria ficar num loop infinito
   //pois eu redireciono pra login so que antes ele vai ver tem usuario na sessao redireciono de novo ai fica assim eternamente
//pra evitar isso criei essa anotação que é no caso de um metodo não precisar ser checkado sessão o que dificilmente acontece
    public boolean accepts(ResourceMethod method) {
    	return  !method.getMethod().isAnnotationPresent(NotCheckSession.class);
    }

    public void intercept(InterceptorStack stack, ResourceMethod method, 
                        Object resourceInstance) throws InterceptionException {
    	//aqui eu pego se tenho um objeto usuario na sessao e vejo se ele é nulo que no caso nao esta logado
        if(this.sessao.getObjectSession("usuario")==null)	result.use(Results.logic()).redirectTo(UsuarioController.class).login();
    	else stack.next(method, resourceInstance);    
    }
}

AccessInterceptor.java

package br.com.jslsolucoes.granchef.interceptors;

import br.com.caelum.vraptor.InterceptionException;
import br.com.caelum.vraptor.Result;
import br.com.caelum.vraptor.core.InterceptorStack;
import br.com.caelum.vraptor.interceptor.Interceptor;
import br.com.caelum.vraptor.resource.ResourceMethod;
import br.com.caelum.vraptor.view.Results;
import br.com.jslsolucoes.granchef.annotations.VerifyAccess;
import br.com.jslsolucoes.granchef.controllers.GranchefController;
import br.com.jslsolucoes.granchef.models.Acao;
import br.com.jslsolucoes.granchef.models.Usuario;
import br.com.jslsolucoes.granchef.others.MySession;


public class AcessInterceptor implements Interceptor {
	MySession sessao;
	Result result;
	int action;
	public AcessInterceptor(MySession sessao,Result result)
	{
		this.result=result;
		this.sessao=sessao;
	}
	
    public boolean accepts(ResourceMethod method) {
    	if(method.getMethod().isAnnotationPresent(VerifyAccess.class))
    	{
    		action=method.getMethod().getAnnotation(VerifyAccess.class).action();
    		return true;
    	}
    	else return false;
    }

    public void intercept(InterceptorStack stack, ResourceMethod method, 
                        Object resourceInstance) throws InterceptionException {
    	
    	boolean hasAction=false;
    	for(Acao a : ((Usuario) sessao.getObjectSession("usuario")).getPerfil().getAcoes())	if(a.getId()==action) hasAction=true;
    	if(!hasAction) result.use(Results.logic()).redirectTo(GranchefController.class).noAction();
    	else stack.next(method, resourceInstance);
    }
}

Prontinho com esses 2 interceptor estou pronto pra utilizar qualquer recurso
agora vamos colocar meus exemplos praticos

@Resource
public class ClienteController{
         //atributos
         //construtor


        //ai começo a brincadeira
       //eu falo que pra listar precisa tem o id 1 ligado ao seu perfil seja ele qual for eu nao falo o perfil que acessa mais sim a ação que o acessa
        @VerifyAccess(action=1)
        public void listar(){

        }

 @VerifyAccess(action=2)
        public void inserir(){

        }

 @VerifyAccess(action=3)
        public void editar(){

        }
       //assim pra qualquer metodo ou seja fica mais simples pq acabo usando apenas 1 anotação
       //ai o esquem se vira com o resto...
      //caso eu queira que não precise checar sessao ou ação é so colocar a anotação em cima que ele passa batido em tudo

      @NotCheckSession
      public void teste(){
     
      }
}

Bom pessoal esse é so mais um exemplo de como implementar um perfil de acesso eu particularmente gosto …
alguma duvida da um toque ai mas sempre atendeu e muito bem o que precisei fazer ligado a essa area

bom, boneazul… esse seu modelo é bem genérico, mas é bastante mais complexo também, e mais difícil de se trabalhar…

uma dica:
@VerifyAccess(action=1) não é nem um pouco bom… assim vc é obrigado a saber que a ação de id=1 é XXX, e se o cara que adicionou isso no banco não souber, ferrou, e se o desenvolvedor não souber ferrou… o desenvolvedor vai ter que ter um “catálogo de ações” enquanto estiver desenvolvendo…

Tem um boa prática chamada YAGNI (You ain’t going to need It ou Vc não vai precisar disso)… ou seja, nunca faça uma solução complicada, se uma simples for o suficiente por um simples “pode ser que o cliente fique louco e mude de idéia no meio do caminho” ou “acho que vou precisar disso mais pra frente”…

Sua solução é legal (fora a referência por ID) para qdo vc precisa dessa generalização…

Senão, a solução do bronx parece suficiente, simples e fácil de usar, e é isso que importa na maioria dos casos…

Lucas Cavalcanti:

bom, boneazul… esse seu modelo é bem genérico, mas é bastante mais complexo também, e mais difícil de se trabalhar…

uma dica:
@VerifyAccess(action=1) não é nem um pouco bom… assim vc é obrigado a saber que a ação de id=1 é XXX, e se o cara que adicionou isso no banco não souber, ferrou, e se o desenvolvedor não souber ferrou… o desenvolvedor vai ter que ter um “catálogo de ações” enquanto estiver desenvolvendo…

Tem um boa prática chamada YAGNI (You ain’t going to need It ou Vc não vai precisar disso)… ou seja, nunca faça uma solução complicada, se uma simples for o suficiente por um simples “pode ser que o cliente fique louco e mude de idéia no meio do caminho” ou “acho que vou precisar disso mais pra frente”…

Sua solução é legal (fora a referência por ID) para qdo vc precisa dessa generalização…

Senão, a solução do bronx parece suficiente, simples e fácil de usar, e é isso que importa na maioria dos casos…

é Lucas realmente concordo quanto ao id preciso sempre saber a referencia…ponto negativo ainda não pensei numa solução dessa referencia como poderia ser…pq o desenvolvedor realmente tem que saber o id ligado a ação mas como tudo tem um porem ele não tem a necessidade de saber qual o perfil precisa ter essa ação perde-se de um lado ganha-se de outro…

o modelo de hierarquia eu nao precisaria saber o que faz ,mas se muda eu preciso buscar todos os que fazem e mudar…a ideía é que é bem mais flexivel…pq fica a cargo do proprio cliente definir seus perfis e tirar essa responsabilidade de código entende???eu nunca mais mudo uma linha de codigo pq a permissao é vista em tempo de execução se amanha muda um perfil todo nenhuma linha é modificada…quanto ao id realmente é algo a se pensar em algo mais programatico do que ids…

quanto a do bronx ele realmente é mais simples só que necessita sempre repetição de anotações na maioria dos casos e sempre fica na mão do programador saber o que cada pessoa tem que fazer o que na pratica pelo menos na minha empresa nunca rolou não sei outras …a minha ideia é justamente inversão de papeis o cliente ajusta como quer e o sistema se vira com o resto…longe de mim estar criticando algo … apenas coloquei outra solução só pra quem interessar ou ate ter alguma ideia relativa a esse id …postei apenas para enriquecer o tópico…

obrigado pelas dicas…

Estou tendo a seguinte excessão no redirecionamento ao acessar diretamente uma uri anotada com as restrições:

br.com.caelum.vraptor.view.ResultException: Given uri /user/accessDenied responds to method: public void br.eti.sobreira.bookstore.controller.UserController.accessDenied(). Use result.use(logic()).redirectTo(UserController.class).accessDenied() instead. br.com.caelum.vraptor.view.DefaultPageResult.checkForLogic(DefaultPageResult.java:102) br.com.caelum.vraptor.view.DefaultPageResult.redirect(DefaultPageResult.java:92) br.eti.sobreira.bookstore.interceptor.AccessControllerInterceptor.intercept(AccessControllerInterceptor.java:46) br.com.caelum.vraptor.core.InstantiatedInterceptorHandler.execute(InstantiatedInterceptorHandler.java:41) br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59) br.com.caelum.vraptor.util.hibernate.HibernateTransactionInterceptor.intercept(HibernateTransactionInterceptor.java:45) br.com.caelum.vraptor.core.InstantiatedInterceptorHandler.execute(InstantiatedInterceptorHandler.java:41) br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59) br.com.caelum.vraptor.interceptor.InterceptorListPriorToExecutionExtractor.intercept(InterceptorListPriorToExecutionExtractor.java:46) br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46) br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59) br.com.caelum.vraptor.interceptor.FlashInterceptor.intercept(FlashInterceptor.java:80) br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46) br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59) br.com.caelum.vraptor.interceptor.ResourceLookupInterceptor.intercept(ResourceLookupInterceptor.java:67) br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46) br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59) br.com.caelum.vraptor.core.DefaultRequestExecution.execute(DefaultRequestExecution.java:62) br.com.caelum.vraptor.VRaptor$1.insideRequest(VRaptor.java:91) br.com.caelum.vraptor.ioc.spring.SpringProvider.provideForRequest(SpringProvider.java:55) br.com.caelum.vraptor.VRaptor.doFilter(VRaptor.java:88)

Meu método list() anotado está assim:

@LoggedIn @Roles(roles="admin") @AccessDenied(loginPage="/user/accessDenied", accessDeniedPage="/user/accessDenied") public List<User> list() { return dao.list(); }

O Interceptor que estou usando é AccessControllerInterceptor fornecido pelo Bronx.

bronx ! poupou muito tempo de trabalho meu !

Muito Agradecido Irmão … precisando tamos ai !

Otima iniciatica !

bronx …

Eu estou com um projeto aqui que é assim !

CONTROLE DE USUARIOS

USUÁRIOS------------------------GRUPOS-------------------PERMISSÕES------------------SISTEMA-----------MENU---------------PÁGINAS
Junior ADMIN Ler/Pesquisar/Editar CAC/NOTAS L/P/E x.jsp/y.jsp/h.jsp

O que você acha ?

Achei bacana esse esquema de autenticação. As sugestões do pessoal também estão muito boas. Eu só vou dar umas dicas que podem ajudar:

1. Aquele esquema do separador é meio estranho. Acho que, ao invés de:

@Roles(roles="gerente;supervisor")

Poderia mudar para:

@Roles(roles={"gerente","supervisor"})

Não é difícil a implementação (roles se tornaria um array de String), e quando só há um parâmetro, as chaves são opcionais. Ficaria assim:

@Retention(RetentionPolicy.RUNTIME)
public @interface Roles {
	String[] roles();
	RolesPolicy policy() default RolesPolicy.DISJUNCTION;
}

2. A aplicação VRaptor com a qual trabalho, existe a necessidade de ter logout. Dei uma olhada rápida no seu código, mas ainda não sei como acrescentaria essa “feature”. Mas basicamente seria uma action anotada assim:

@Resource
public class MeuRecursoController {  
    
    @LoggedOut
    public void tchau() {
    
    }
}

E que por trás dos panos, removeria o usuário profile presente na sessão.

3. Pra quem usa Javascript, enxertar uma tela de login quando se esperava um pequeno bloco de html é frustrante. O interessante é retornar o erro HTTP (401) para que o método Ajax saiba tratá-lo. Acredito que é só acertar isso no interceptor que verifica a autenticação.

É isso. Espero ter ajudado.

Perfect! Assim ficaria muito mais fácil e elegante fazer a parada.
De qualquer forma, ainda assim deixaria os métodos setDefaultLoginPage e setDefaultAccessDeniedPage, pois as vezes a página de login do cara pode nao se referenciar a uma página/recurso controlado pelo VRaptor.

A implementação do Login estará obrigatoriamente fora do jar. 8) O que quis dizer é que caso o desenvolvedor precise utilizar os métodos setDefaultLoginPage e setDefaultAccessDeniedPage ao invés de anotar os recursos da maneira que você falou, eles terão que criar sua própria implementação do Interceptor, pois a que viria dentro do jar nao conseguiria receber essas informações, a não ser que elas estivessem dentro do Login que seria injetado!!

Hahaha…Criatividade passou longe no “VAAS”…hehehehe
Pensei em RestricTRex…sei lá…
Daqui a pouco vão sugerir “Cadillac & Dinossaurs”…kkkk

yorgan,

Eu até tinha anotado o RestrictionChecker com @Component, mas como não sabia que os pacotes dentro dos jars também poderiam ser gerenciados pelo VRaptor, acabou não funcionando e eu tive que tirar a anotação e acabei criando um ComponentFactory para essa classe.
Faça o mesmo: crie seu ComponentFactory para o RestrictionChecker, ou dê “new” diretamente no Interceptor. Corrigiremos isso next time! ^^

boneazul,

Bela contribuição.
Muitos controles de acesso utilizam a idéia de roles. Por isso que dei atenção a esse esquema.
Sua abordagem é diferente, mas achei interessante.
De qualquer forma, agregou ao tópico! Valeu.

sobreira,

Então, o VRaptor não permite “self-redirecting” dessa maneira.
Entendo que nesses casos é interessante que o usuário utilize o redirecionamento da maneira descrita, mas lançar uma exception por ele nao ter feito assim acaba limitando um pouco a parada.
Porém, não me lembro o que fiz para solucionar isso . Estou na casa da minha namorada e meu note não está aqui. Shit.
Mais tarde eu posto o que fiz.
Porém, como um workaround rápido e fácil, faça o seguinte: altere o AccessControllerInterceptor para que, no lugar do Result, ele receba um HttpServletResponse. Se não me engano o VRaptor consegue injetar sem precisar criar ComponentFactory para isso.
Feito isso, na linha onde o result realizava o redirecionamento, use o método sendRedirect do HttpServletResponse.
Como disse, mais tarde eu falo o que fiz pra contornar este problema. :thumbup:

Mas é isso galera. Postem as dúvidas, e principalmente, as sugestões!!!
Abs!!!

Nice. Confesso que foi minha primeira experiência com annotations. Não tinha (tenho) muita experiência com isso. Aliás, com Java mesmo tenho menos de um ano… :oops:
Mas é bem simples deixar dessa maneira, sem contar que fica bem mais elegante. Boa sugestão!

Cara, posso estar enganado, mas acho que isso foge um pouco do objetivo da ferramenta. Vamos ter um feeling sobre isso conforme utilizarmos a parada. Mas a sugestão já tá registrada. ^^

Entendo. Como você disse, bastaria fazer um Interceptor personalizado. Caso o restrictionResult.isRestricted() seja verdadeiro, basta forçar um 401. Mas ai, como é muito específico, seria melhor cada um criar sua própria implementação.

Leonardo3001:

É isso. Espero ter ajudado.

Não tenha dúvidas!!

Muito boa a contribuição. Porém não vamos esquecer que no Java há uma API para autenticação e autorização que é o JAAS, que te permite plugar diversos mecanismos para isso. Além de que você não precisa implementar nada na sua aplicação, apenas configurar o container para tal. Com ele é possível controlar tanto a autenticação quanto a autorização necessária para acesso aos recursos.

Só tenho duas sugestões: usar um pouco mais do convention-over-configuration evitando usar tantas anotações e configurações unificadas. Achei um pouco desnecessário usar uma anotação para dizer onde vai quando o usuário não estiver autenticado. Ele sempre deverá ir para a tela de login.

Abraços

O seu loginPage e accessDeniedPage estão apontando para o mesmo local. Is that right?? ^^
Além disso, não precisa utilizar a annotation @LoggedIn. Como o cara precisa ser um admin, ele tem que estar logado para que se possa saber quais roles ele possui. A ferramenta já faz essa verificação.

garcia-jj:

Muito boa a contribuição. Porém não vamos esquecer que no Java há uma API para autenticação e autorização que é o JAAS, que te permite plugar diversos mecanismos para isso. Além de que você não precisa implementar nada na sua aplicação, apenas configurar o container para tal. Com ele é possível controlar tanto a autenticação quanto a autorização necessária para acesso aos recursos.

Só tenho duas sugestões: usar um pouco mais do convention-over-configuration evitando usar tantas anotações e configurações unificadas. Achei um pouco desnecessário usar uma anotação para dizer onde vai quando o usuário não estiver autenticado. Ele sempre deverá ir para a tela de login.

Abraços

Opa!
Então garcia-jj, esse esquema é específico para o VRaptor. Vale lembrar que nem todos usuários do VRaptor conhecem ou sabem utilizar o JAAS (eu mesmo nem imagino como funciona…=S). Qualquer Servlet Container possui suporte a JAAS?
Agora fiquei curioso: vc utiliza JAAS com o VRaptor? É simples? Vou dar uma estudada ASAP.

Quanto ao CoC: concordo.
Tanto que estamos justamente elaborando uma solução mais simples para não termos que fazer essas configurações em todas as classes/métodos do sistema. A idéia do loginPage é dar o máximo de flexibilidade ao desenvolvedor. Pode existir uma situação onde, antes de ir para a página de login, ele queira exibir alguma informação ao usuário, por exemplo (??? sei lá rs). Mas de qualquer modo, é essa linha que pretendemos adotar: a menor quantidade de configurações possíveis.

Valeu pela contribuição. Será de grande valia!!

bronx:

O seu loginPage e accessDeniedPage estão apontando para o mesmo local. Is that right?? ^^
Além disso, não precisa utilizar a annotation @LoggedIn. Como o cara precisa ser um admin, ele tem que estar logado para que se possa saber quais roles ele possui. A ferramenta já faz essa verificação.

Na verdade o código que estou testando é assim:

Tentei das duas formas e a excessão lançada é a mesma. De noite vou testar a solução com o HttpServletResponse e te aviso!

Nice.

Acho que até a noite eu posto o que fiz para que funcionasse com o Result.

Abs, e valeu pela força!

sobreira:

bronx:

O seu loginPage e accessDeniedPage estão apontando para o mesmo local. Is that right?? ^^
Além disso, não precisa utilizar a annotation @LoggedIn. Como o cara precisa ser um admin, ele tem que estar logado para que se possa saber quais roles ele possui. A ferramenta já faz essa verificação.

Na verdade o código que estou testando é assim:

Tentei das duas formas e a excessão lançada é a mesma. De noite vou testar a solução com o HttpServletResponse e te aviso!

sobreira,

Use “…” antes da URI. Assim:

De qualquer forma, teste com o HttpServletResponse e poste os resultados!

Abs!

sobreira:

bronx:

O seu loginPage e accessDeniedPage estão apontando para o mesmo local. Is that right?? ^^
Além disso, não precisa utilizar a annotation @LoggedIn. Como o cara precisa ser um admin, ele tem que estar logado para que se possa saber quais roles ele possui. A ferramenta já faz essa verificação.

Na verdade o código que estou testando é assim:

Tentei das duas formas e a excessão lançada é a mesma. De noite vou testar a solução com o HttpServletResponse e te aviso!

vc tá usando qual versão do VRaptor?

na mais nova, a 3.1, não dá mais essa exceção forçando usar redirect via método…
http://tinyurl.com/vr3dw

Lucas Cavalcanti:

vc tá usando qual versão do VRaptor?

na mais nova, a 3.1, não dá mais essa exceção forçando usar redirect via método…
http://tinyurl.com/vr3dw

Estava com a 3.02. Atualizado e resolvido. Obrigado Lucas!

BRONX BOM DIA !

@LoggedIn  
   @Roles(roles="admin")  
   @AccessDenied(loginPage="/user/accessDenied", accessDeniedPage="/user/accessDenied")  
   public List<User> list() {  
       return dao.list();  
 }

ESSE admin, pode ser um valor do banco ? tipo admin/pesquisa/relatorio/edição/etc… ?

SIM!

Leia a segunda mensagem do Bronx que ela explica isso. Examine o exemplo da classe Usuario que ele enviou, e veja que o role é capturado pelo método: public List<String> getRoles(); da Interface Profile.

Persistir estes dados é simples. Na sexta mensagem deste mesmo tópico eu questiono isso e na sétima o Bronx mostra uma alternativa. É só ler e decidir como fazer.

sobreira Bom dia !

Otimo, tu já fez isso ?

Sim.

Criei uma @Entity chamda Roles. Fiz um mapeamento @OneToMany na classe Usuario para esta @Entity e segui a dica do Bronx pra mapear meu Set<Roles> para o List<Strings> retornado pelo public List<String> getRoles(); da minha classe Usuario. É realmente bem simples.

sobreira !

Poderia enviar as classes para eu da uma olhada ? [email removido]

Abraço !

E ae galera!

sobreira, como foram os testes? Funcionou? O que achou? Sugestões?
Alguém mais testou a parada? yorgan?
Dêem suas opiniões!!

Lucas,
Ontem quebrei a cabeça com o github. Na real, fiquei pouco mais de meia hora mexendo, e confesso que não entendi como a ferramenta funciona.
Mas para todos os efeitos, acho que amanhã farei algumas alterações. Criarei os métodos setDefaultLoginPage e setDefaultAccessDeniedPage, para facilitar enquanto a ferramenta ainda não estiver integrada ao VRaptor (se isso for rolar mesmo…=S), além de deixar o roles como uma lista de String e anotar o RestrictionChecker com o @Component!

E o nome? Vou alterar os pacotes para br.com.bronx.restrictrex. Alguma objeção? Ou sugestão? Rss

E por favor: TESTEM! Mais de 600 visualizações e só 2 pessoas demonstraram que realmente estão testando…=/

Abs a todos!

bronx:

E ae galera!

sobreira, como foram os testes? Funcionou? O que achou? Sugestões?
Alguém mais testou a parada? yorgan?
Dêem suas opiniões!!

Estou ansioso pra pegar o projeto no Github e fazer um fork!

[]s

sobreira To No Aguardo !

show de bola !!!

eu já estava começando a fazer algo neste sentido http://www.guj.com.br/posts/preList/149082/809422.java#809422

apoio a sugestão do Lucas de fazer a configuração do loginPage e accessDeniedPage uma unica vez.

na prox semana vou retomar meus estudos em vraptor e então podemos trocar idéias

parabéns pela iniciativa.

a propósito,

vc já definiu o tipo de licença? Apache, GLP , LGLP, …

posso usar, complementar, alterar ?

ricardosoares:

show de bola !!!

eu já estava começando a fazer algo neste sentido http://www.guj.com.br/posts/preList/149082/809422.java#809422

apoio a sugestão do Lucas de fazer a configuração do loginPage e accessDeniedPage uma unica vez.

na prox semana vou retomar meus estudos em vraptor e então podemos trocar idéias

parabéns pela iniciativa.

Excelente, ricardosoares!

Quanto mais pessoas estiverem participando, melhor!

Prometo que hj a noite, mais tardar amanhã cedo, posto nova versão com a centralização das configurações de loginPage e accessDeniedPage.

A idéia do Lucas de anotar os próprios recursos com @LoginPage e @AccessDeniedPage é sensacional! Mas acredito que isso só seria possível se a ferramenta estivesse integrada ao VRaptor.

Quanto a licença: ainda não pensei a respeito.
Essa é a minha primeira contribuição em um projeto open-source, então tenho que dar uma estudada nas licenças disponíveis, suas peculiaridades etc.
Tenho inclusive que conversar com o Lucas sobre isso, pois caso a solução seja integrada a uma versão futura do VRaptor, já assumiria a licença utilizada pelo framework.

Mas velho, a minha ideia é seguir a filosofia burger king: “HAVE IT YOUR WAY”. Rs
Pode alterar o código sem problemas. Conforme a parada andar, podemos ir agregando/melhorando cada vez mais a ferramenta.

Abs.

bronx bOA tARDE !

Eu tenho que fazer isso tudo em um futuro sistema, logo vou contribuir… mas concordo quanto mais melhor !

Gostei do “VAAS”, rs
Eu tinha feito um mais amador para um sistema, vou testar a sua solução e depois retorno como foi. E vou aproveitar e testa-la numa situação bem especifica em termos de segurança q estou modelando.

Parabéns pela iniciativa

Não precisa estar integrada ao VRaptor pra isso funcionar…

basta implementar uma interface interna do VRaptor…
( criar a classe:
@ApplicationScoped @Component public class PageHandler implements StereotypeHandler {…})
depois eu te explico melhor como fazer…

dá uma olhada nesses artigos:

http://vidageek.net/2009/06/08/como-migrar-de-svn-para-git/
http://vidageek.net/2009/07/06/git-workflow/

Nova versão galera!

Me desculpem o atraso de 2 dias, mas aqui está a versão alterada com algumas melhorias propostas pela galera.

O “change log”:

• classe RestrictionChecker anotada com @Component; //eu não consegui injetá-la .
• criação dos métodos setDefaultLoginPage e setDefaultAccessDeniedPage na classe RestrictionChecker;
• alteração do nome da annotation @AccessDenied para @OnAccessDenial;
• restrição do target das annotations: agora é só TYPE e METHOD.
• criação de exception específica em caso de o desenvolvedor não informar login page ou access denied page em nenhum lugar;
• atributo “roles” da annotation @Roles agora é uma lista, eliminando a necessidade do antigo “separator” (thanks Leonardo3001);
• necessidade de implementar apenas uma interface: Profile;
• adoção temporária do nome “RestricTRex”…ainda estou aguardando as sugestões (rs).

A maneira de utilização é basicamente a mesma.

Com os métodos setDefaultLoginPage e setDefaultAccessDeniedPage não existe mais a obrigação de uso da anotação @OnAccessDenial (antiga @AccessDenied). Mas sua utilização ainda é possível, caso seja necessário um comportamento mais específico em determinadas situações.
Os métodos setDefaultLoginPage e setDefaultAccessDeniedPage devem ser chamados ANTES da chamada ao método checkRestrictions.

A interface Profile agora possui a seguinte “cara”:

public interface Profile {

	public boolean isLoggedIn();
	public List<String> getRoles();
	public int getAccessLevel();
	
}

Olha só o interceptor como pode ficar (façam como quiserem):

package br.com.bronx.interceptor;

import br.com.bronx.restrictrex.exception.DestinationException;
import br.com.bronx.restrictrex.exception.RestrictionAnnotationException;
import br.com.bronx.restrictrex.interfaces.Profile;
import br.com.bronx.restrictrex.restriction.RestrictionChecker;
import br.com.bronx.restrictrex.restriction.RestrictionResult;
import br.com.caelum.vraptor.InterceptionException;
import br.com.caelum.vraptor.Intercepts;
import br.com.caelum.vraptor.Result;
import br.com.caelum.vraptor.core.InterceptorStack;
import br.com.caelum.vraptor.interceptor.Interceptor;
import br.com.caelum.vraptor.resource.ResourceMethod;
import br.com.caelum.vraptor.view.Results;

/**
 * This interceptor controls the access to the resources, based on their
 * restrictions annotations.<br>
 * The restrictions might be method restrictions or resource restrictions,
 * according to where the annotations had been placed.
 * 
 * @author Diego Maia da Silva a.k.a. Bronx
 */
@Intercepts
public class AccessControllerInterceptor implements Interceptor {

	private RestrictionChecker restrictionChecker;
	private Result result;
	private Profile profile;
	
	public AccessControllerInterceptor(Profile profile, Result result, RestrictionChecker restrictionChecker){
		this.restrictionChecker = restrictionChecker;
		this.profile = profile;
		this.result = result;
	}
	
	@Override
	public boolean accepts(ResourceMethod method) {
		return this.restrictionChecker.hasRestriction(method.getMethod());
	}

	public void intercept(InterceptorStack stack, ResourceMethod resourceMethod,
			Object resourceInstance) throws InterceptionException {
		//this.restrictionChecker.setDefaultLoginPage("minha/pagina/de/login/padrao");
		//this.restrictionChecker.setDefaultAccessDeniedPage("pagina/de/acesso/restrito/padrao");
		RestrictionResult restrictionResult;
		try {
			restrictionResult = this.restrictionChecker.checkRestrictions(resourceMethod.getMethod(), this.profile);
		} catch (RestrictionAnnotationException e) {
			throw new InterceptionException(e);
		} catch (DestinationException e) {
			throw new InterceptionException(e);
		}
		if (restrictionResult.isRestricted()){
			result.use(Results.page()).redirect(restrictionResult.getDestination());
		} else {
			stack.next(resourceMethod, resourceInstance);
		}
	}
}

Enfim…testem aí.

Planos para um futuro [extremamente] próximo: jogar isso tudo no github e implementar o esquema da @LoginPage e @AccessDeniedPage.

Lucas, me mande um tutorial de como fazer esse esquema do StereotypeHandler.

[]'s

EDIÇÃO: esqueci do anexo…damn it…!

só criar a classe dentro do seu projeto:

@Component
@ApplicationScoped
public class LoginPageHandler implements StereotypeHandler {

    public LoginPageHandler(RestrictionChecker checker) {
    //guarda num field
    //O RestrictionChecker tem que ser ApplicationScoped (se ele depender de algo do request 
    //não vai rolar, então vc vai ter que criar uma outra classe que tem essas configurações de loginPage)
}
    public Class<? extends Annotation> stereotype() {
         return Resource.class; // só vai funcionar pros Controllers
    }

    public void handle(Class<?> type) {
          if (//algum dos métodos de type está anotado com @LoginPage) {
              this.checker.setDefaultLoginPage(//o metodo anotado);
          }
          // mesma coisa para @AccessDeniedPage
    }
}

essa classe é carregada qdo o VRaptor está se configurando… toda vez que ele achar alguma classe anotada com @Resource, ele vai chamar o método handle(…) passando essa classe

Muito boa a contribuição Bronx, parabéns…

apenas uma sugestão, que tal dar mais flexibilidade para as roles, substituindo:

@Roles(roles={"gerente","supervisor"},  policy = RolesPolicy.DISJUNCTION)

por:

@Roles(roles="gerente OU supervisor E ....")

Lucas:

[youtube]http://www.youtube.com/watch?v=dsbrRXMdLMc[/youtube]

Muito simples man!
VRaptor surpreendendo cada dia que passa…rs
E como eu faria para redirecionar? Eu teria a classe e o método. Como faria para redirecionar para o método especificado??

wpivotto:

[youtube]http://www.youtube.com/watch?v=DeVmYfiGydo[/youtube]

Hehe! Brincadeiras a parte: cara, isso pode gerar problemas. Além de um trabalho maior para codificar um “parser” para a string, pois a mesma precisaria de agrupamentos (uso de parênteses) e o cacete a 4.
O cara poderia digitar errado, dentre outros possíveis erros…

De qualquer forma, valeu pela sugestão. E por favor, teste! rs

ok bronx, faz sentido…

eu consegui redirecionar para o método da seguinte maneira

@Component  
@ApplicationScoped  
public class LoginPageHandler implements StereotypeHandler {  

	private final RestrictionChecker checker;
	private final Router router;
	private static final Logger logger = LoggerFactory.getLogger(LoginPageHandler.class);

	public LoginPageHandler(RestrictionChecker checker, Router router) {  
		this.checker = checker; 
		this.router = router;
	}  

	public Class<? extends Annotation> stereotype() {  
		return Resource.class; 
	}  

	public void handle(Class<?> type) {  

		for(Method method : type.getMethods()){

			String route = router.urlFor(type, method, method.getGenericParameterTypes());

			if(method.isAnnotationPresent(LoginPage.class)) {
				checker.setDefaultLoginPage(route);
				logger.info("DEFAULT LOGIN PAGE -> " + route);
			}

			if(method.isAnnotationPresent(AccessDeniedPage.class)) {
				checker.setDefaultAccessDeniedPage(route);
				logger.info("DEFAULT ACCESS DENIED PAGE -> " + route);
			}
		}
	} 
	
}

O Lucas deve ter uma solução melhor…

Seria legal ter uma anotação LogoutPage também…

se vc quiser redirecionar para o método e classe vc faz assim:

Object instance = result.redirectTo(classe);
new Mirror().on(instance).invoke().method(metodo).withoutArgs(); //supondo que não tem argumentos

se vc quiser só a url faz como o wpivotto falou… o único erro dele é o último parâmetro do urlFor… se eu não me engano ele recebe um Object[] que são os argumentos… o ideal seria forçar que o método anotado não receba argumentos, assim é só passar new Object[0] como último argumento

Lucas e wpivotto,

Estamos a um passo de fecharmos isso. rs

Mas Lucas, e no caso do método possuir parâmetros?
Você acha melhor forçar que os métodos com @LoginPage e @AccessDeniedPage não possuam parâmetros?

Posso estar enganado, mas acredito que isso acaba tirando um pouco da flexibilidade proposta pela ferramenta, não acha?

Anyway, vou fazer isso tudo até o fds e mando nova versão da parada. Master ocupado para parar e fazer isso agora…=S
Abs.

se o método possui parâmetros, o que vc vai passar pra ele? Vc não tem essa informação… passar tudo null não é uma boa, pq o método provavelmente usa as informações

Nossa…eu misturei tudo… Tava pensando na injeção dos parâmetros do construtor da classe quando escrevi isso. =S
#groselhadetected
My bad. :oops:

Então fechou!

Logo mais teremos a versão mais elegante do restritor! =DDD

bronx:

Opa!
Então garcia-jj, esse esquema é específico para o VRaptor. Vale lembrar que nem todos usuários do VRaptor conhecem ou sabem utilizar o JAAS (eu mesmo nem imagino como funciona…=S). Qualquer Servlet Container possui suporte a JAAS?
Agora fiquei curioso: vc utiliza JAAS com o VRaptor? É simples? Vou dar uma estudada ASAP.

Quanto ao CoC: concordo.
Tanto que estamos justamente elaborando uma solução mais simples para não termos que fazer essas configurações em todas as classes/métodos do sistema. A idéia do loginPage é dar o máximo de flexibilidade ao desenvolvedor. Pode existir uma situação onde, antes de ir para a página de login, ele queira exibir alguma informação ao usuário, por exemplo (??? sei lá rs). Mas de qualquer modo, é essa linha que pretendemos adotar: a menor quantidade de configurações possíveis.

Valeu pela contribuição. Será de grande valia!!

bronx, tudo bem? Desculpe a demora em responder. Eu estava em viagem de trabalho. Mas vamos lá ao que interessa.

Qualquer servlet container suporta JAAS. A grande vantagem dele é ser um padrão, porém não é nada simples. A tua solução de longe é a mais simples. Eu sempre sugiro usar JAAS porque todos os projetos que faço usam EJB, assim ambos conversam transparente entre sí.

E achei a tua contribuição fantástica. O que você acha de disponibilizar o projeto como uma espécie de plugin para o vraptor? Assim é só colocar um jar do tipo vraptor-plugin-do-bronx.jar e ser feliz, hehe.

Abraços

Boa tarde garcia-jj!

Hehe…me expressei mal. Queria saber se possuem suporte “nativo”. Sem precisar de JARs extras. rs

Enfim…cara, já está assim! Já está tudo dentro do jar. É baixar, configurar e usar! o//

Mas estamos melhorando. Acho que semana que vem já teremos versão nova por aí. rs

Abs.

Sim, a implementação de JAAS fica no container.

Amigo boneazul!
Eu gostei muito do teu modelo para controlar o acesso e segurança, porém acredito que ficaria muito melhor se você utilizar o nome do método anotado ao invés de uma Ação numerada, pois assim o desenvolvedor não precisaria se preocupa em saber qual ação deverá ser associada ao método/lógica, mas ficaria bastante elegante se na anotação @VerifyAccess pudesse informar 3 parâmetros, onde:

@VerifyAccess(description=“Relatório gerencial|Esta lógica serve para imprimir o relatório gerencial.”,
pageAccessDenied="/acessoNegado.jsp",
messageAccessDenied=“acesso.negado”
)

Sendo assim:
description= Aqui seria informado uma chave do arquivo i18n (messages.properties) ou um texto contendo a informação sobre a lógica anotada, sendo este apresentado para o administrador do sistema durante a delegação de qual usuário terá ou não acesso
pageAccessDenied= Aqui seria informado uma página para direcionamento,c aso o usuário logado não tenha direitos de acesso.
messageAccessDenied= Aqui seria informado uma chave do arquivo i18n ou um texto contendo a mensagem de negação.

Seria legal também se a classe pudesse receber uma outra anotação, ex: @ResourceControl(description=“Relatórios”), onde seria informado um texto ou chave i18n para facilitar na organização do administrador do sistema, onde as lógicas anotada como segurança ficariam agrupadas dentro dos seus respectivos recurso (classes) e com isso teríamos uma arvore de controle de acesso.

Com isso teríamos o seguinte modelo HTML

Relatórios
|
±–> Relatório gerencial
+…
+…
±–> Relatório administrativo

E o administrador selecionaria os métodos “anotados” e daria o direito de acesso ao usuário, também selecionado…

Dá para ir mais a fundo nestas ideias, o importante é que o teu modelo fica mais flexível, pois o desenvolvedor não precisa saber qual a regra para cada método anotado, isto fica a cardo do administrador.

Abraços.

softwork:

Amigo boneazul!
Eu gostei muito do teu modelo para controlar o acesso e segurança, porém acredito que ficaria muito melhor se você utilizar o nome do método anotado ao invés de uma Ação numerada, pois assim o desenvolvedor não precisaria se preocupa em saber qual ação deverá ser associada ao método/lógica, mas ficaria bastante elegante se na anotação @VerifyAccess pudesse informar 3 parâmetros, onde:

@VerifyAccess(description=“Relatório gerencial|Esta lógica serve para imprimir o relatório gerencial.”,
pageAccessDenied="/acessoNegado.jsp",
messageAccessDenied=“acesso.negado”
)

Sendo assim:
description= Aqui seria informado uma chave do arquivo i18n (messages.properties) ou um texto contendo a informação sobre a lógica anotada, sendo este apresentado para o administrador do sistema durante a delegação de qual usuário terá ou não acesso
pageAccessDenied= Aqui seria informado uma página para direcionamento,c aso o usuário logado não tenha direitos de acesso.
messageAccessDenied= Aqui seria informado uma chave do arquivo i18n ou um texto contendo a mensagem de negação.

Seria legal também se a classe pudesse receber uma outra anotação, ex: @ResourceControl(description=“Relatórios”), onde seria informado um texto ou chave i18n para facilitar na organização do administrador do sistema, onde as lógicas anotada como segurança ficariam agrupadas dentro dos seus respectivos recurso (classes) e com isso teríamos uma arvore de controle de acesso.

Com isso teríamos o seguinte modelo HTML

Relatórios
|
±–> Relatório gerencial
+…
+…
±–> Relatório administrativo

E o administrador selecionaria os métodos “anotados” e daria o direito de acesso ao usuário, também selecionado…

Dá para ir mais a fundo nestas ideias, o importante é que o teu modelo fica mais flexível, pois o desenvolvedor não precisa saber qual a regra para cada método anotado, isto fica a cardo do administrador.

Abraços.

É o mais “legal” da ideia tirando a porquisse dos ids é essa flexibilidade mesmo, de tirar da mão do programador o que cada pessoa deve acessar , ao meu ver não tem o porque disso.

Digamos que esse modelo do bronx é role-based e o meu seria um action-based …

a diferenca entre os dois é que o dele é bem mais simples pois não é necessario geração de banco para controle apenas uma list de roles do usuario,porém como nada é perfeito peca na parte de manutenção pois se algum ou varios metodos mudam de perfil teria que ir em código mudar e isso num é legal.

o meu é mais complexo pois ha geração de banco pra controle ,mapeamento de ações do sistema porém o sistema fica totalmente desacoplado do programador pois que define o que o perfil pode fazer é o proprio gerente,administrador,supervisor …

não tive tempo ainda de pensar em algo pra melhorar akeles ids,poderia ser ligado sim a string em vez do id mas ai teria mapeamento do mesmo modo ou seja do mapeamento de ações não teria como fugir

O ideal seria realmente algo do tipo

@VerifyAcess("listaUsuario")
public void lista(){
.........
}

Eu utilizo esse eskema de “Assunto da ação” tipo,isso torna muito mais organizado para quem delega , só não postei pois aumenta 1 classe apenas

–Relatorios
—Imprimir relatorio compra
—Imprimir relatorio venda
–Cadastros
—Lista vendedor
—Editar vendedor
—Desativar vendedor
.
.
.

os outros parametros nem seriam necessarios creio eu, pois geralmente voce num tem muito o que falar apenas : “Acesso negado,voce não tem permissão para executar essa operação” tipo uma frase meio que genérico ja resolveria bem.Nada que um interceptor não resolva.

Vo pensar em algo mais programatico é que estou sem tempo pra fazer algo mais elegante.
Pois estou trabalhando em outra contribuição muito maior pra turma do Vraptor, que garanto o pessoal vai gostar bastante.

O trabalho que o bronx esta fazendo é genial e de fato é mais simples, basta apenas no momento de LOGIN carregar a lista de regras/perfis deste usuário, mas o problema é se uma gerente de negócio mudar o escopo de segurança, ou seja, uma lógica que foi anotada para ter acesso somente ao gerente e ao usuário, agora passe a ter também um supervisor, então eu teria que ir no código para fazer isso e em seguida fazer um “deploy” e colocar para teste e só depois se homologado, colocar em produção.
Se este “foco” mudar, o modelo ficará perfeito.

Pois é amigo, apesar do teu código ter a “complexidade” de 2 ou 3 entidades no banco e um trabalho de delegação de acesso por parte de um chefe de setor, gerente ou supervisor é esta a realidade na maioria das empresas, pois o escopo sempre muda, sempre irá existir a dinâmica para cada usuário ou um determinado perfil.
Bom, pelo menos aqui na FAESP “Federação da Agricultura e Pecuária do Estado de São Paulo” e SENAR "Serviço Nacional de Aprendizagem Rural, ambas sem fins lucrativos, sempre há mudanças.

Então boneazul, apesar da necessidade da entidade “ações”, acho que o foco seria um pouco diferente, pois a chave seria o nome do método e para não apresentar algo “estranho” para o administrador de segurança (ex: listaUsuario) seria interessante apresentar um texto “breve” explicativo, algo como: Lista de Usuários, sendo assim a anotação iria buscar no aquivo de properties a mensagem a ser apresentada ao administrador, porém acho que falta um direcionamento para uma página de “acesso negado”, pois se um usuário logado tentar acessar o método anotado e este não tiver direito de acesso, ele deverá ser direcionado para uma mensagem padrão ou uma específica, conforma a necessidade do desenvolvedor.

Mas acho que poderia seguir a linha de convenção do vRaptor, ou seja, no arquivo de properties teríamos a chave: lista.texto = Lista de Usuários (mensagem para o administrador) e para o direcionamento, caso não informado na anotação, seria algo assim: /[classe].[método].negado.jsp

Situação simples:

@VerifyAcess()
public void lista(){
.........
}

Situação específica:

@VerifyAcess(pageAccessDenied="/acessoNegado.jsp")
public void lista(){
.........
}

ou

@VerifyAcess(description="listaDeUsuarios.texto", pageAccessDenied="/acessoNegado.jsp")
public void lista(){
.........
}

Acho de dá para pensar ainda mais sobre o assunto.

Bom, parabéns para o bronx e ao boneazul pela iniciativa e principalmente pela contribuição para a comunidade.

Muito obrigado aos dois.

Sem dúvidas é uma excelente contribuição. Tenho acompanhado o tópico, mesmo sem opiniar muito, e posso dizer que é uma excelente contribuição. Certamente facilita muito o uso, porém o diferencial é a integração transparente ao vraptor, já que soluções como jaas e acegy tem de serem feitas na mão.

Abraços, e obrigado por compartilharem.

softwork:

boneazul:

a diferenca entre os dois é que o dele é bem mais simples pois não é necessario geração de banco para controle apenas uma list de roles do usuario,porém como nada é perfeito peca na parte de manutenção pois se algum ou varios metodos mudam de perfil teria que ir em código mudar e isso num é legal.

O trabalho que o bronx esta fazendo é genial e de fato é mais simples, basta apenas no momento de LOGIN carregar a lista de regras/perfis deste usuário, mas o problema é se uma gerente de negócio mudar o escopo de segurança, ou seja, uma lógica que foi anotada para ter acesso somente ao gerente e ao usuário, agora passe a ter também um supervisor, então eu teria que ir no código para fazer isso e em seguida fazer um “deploy” e colocar para teste e só depois se homologado, colocar em produção.
Se este “foco” mudar, o modelo ficará perfeito.

Pois é amigo, apesar do teu código ter a “complexidade” de 2 ou 3 entidades no banco e um trabalho de delegação de acesso por parte de um chefe de setor, gerente ou supervisor é esta a realidade na maioria das empresas, pois o escopo sempre muda, sempre irá existir a dinâmica para cada usuário ou um determinado perfil.
Bom, pelo menos aqui na FAESP “Federação da Agricultura e Pecuária do Estado de São Paulo” e SENAR "Serviço Nacional de Aprendizagem Rural, ambas sem fins lucrativos, sempre há mudanças.

Então boneazul, apesar da necessidade da entidade “ações”, acho que o foco seria um pouco diferente, pois a chave seria o nome do método e para não apresentar algo “estranho” para o administrador de segurança (ex: listaUsuario) seria interessante apresentar um texto “breve” explicativo, algo como: Lista de Usuários, sendo assim a anotação iria buscar no aquivo de properties a mensagem a ser apresentada ao administrador, porém acho que falta um direcionamento para uma página de “acesso negado”, pois se um usuário logado tentar acessar o método anotado e este não tiver direito de acesso, ele deverá ser direcionado para uma mensagem padrão ou uma específica, conforma a necessidade do desenvolvedor.

Mas acho que poderia seguir a linha de convenção do vRaptor, ou seja, no arquivo de properties teríamos a chave: lista.texto = Lista de Usuários (mensagem para o administrador) e para o direcionamento, caso não informado na anotação, seria algo assim: /[classe].[método].negado.jsp

Situação simples:

@VerifyAcess()
public void lista(){
.........
}

Situação específica:

@VerifyAcess(pageAccessDenied="/acessoNegado.jsp")
public void lista(){
.........
}

ou

@VerifyAcess(description="listaDeUsuarios.texto", pageAccessDenied="/acessoNegado.jsp")
public void lista(){
.........
}

Acho de dá para pensar ainda mais sobre o assunto.

Bom, parabéns para o bronx e ao boneazul pela iniciativa e principalmente pela contribuição para a comunidade.

Muito obrigado aos dois.

“e um trabalho de delegação de acesso por parte de um chefe de setor, gerente ou supervisor é esta a realidade na maioria das empresas, pois o escopo sempre muda, sempre irá existir a dinâmica para cada usuário ou um determinado perfil.”

É realmente ,por exemplo para a minha empresa, modelo de ROLES não rola e por isso nem é adotado.
Se voce ta falando que na sua tem 2 já somos 3 que esse tipo de implementação fica inviavel.
Pois isso postei a alternativa.

então talvez voce não tenha entendido bem o meu modelo cara,pelas sugestões que está me passando

Vo tentar ser simples na explicação do interior da parada.

No geral vai ser 4 tabelas
perfil,acesso,acoes,categoriaacoes

Tabela categoriaacoes :

Guarda as categorias de ações pra ficar mais organizado na interface do usuario ,que foi o que voce dissse uns posts atras

-Relatórios Gerencias
-Relatórios Administrativos
.
.

Tabela ações

Guarda todas as ações mapeadas no seu sistema e tem uma categoria listada acima

• imprimir relatorio A - Relatórios Gerencias
• imprimir relatorio B - Relatórios Gerencias
• imprimir relatorio A - Relatórios Administrativos
• imprimir relatorio B - Relatórios Administrativos

Nessa tabela o que poderia ser feito é passado a convenção ai ficaria legal

tipo a classe de acao seria

Id | Descrição da ação | Categoria da acao | Convenção que segue

1 | imprimir relatorio A | 1 | /vendedor/lista

dai dai pra fazer algo do tipo que voce necessita

Ai daria pra ver …

O método de acesso tem anotação??
Se tem anotação ,eu busco o usuario na sessao pego seu perfil pego as ações ligada ao perfil e procuro a convenção ,se ela não existe então negaria o acesso ao recurso caso exista deixaria acessar.
Quanto as outras configurações ficaria facil.

Algumas ate desnecessario exemplo a i18n com a key como voce sugerir sendo ja que voce so poderia passar a logica a executar
isso no final iria renderizar um jsp ai no jsp voce usaria a i18n com tag lib <c ou <fmt num lembro

quanto ao seu pageAccessDenied="/acessoNegado.jsp" nao sei se seria necessario pois ai seria generalização demais sendo que todas vez ele seguiria isso ficaria meio estranho de ver poderia deixar alguma pagina generica e caso ele passasse alguma lógica ai executaria a lógica ,não é o meu caso pois como disse eu sempre uso uma frase genérica “Voce não tem direito de acesso a esse recurso” pois seria até improdutivo fazer um jsp pra cada logica negada so pra mudar algumas palavras tipo
"Voce não tem permissao para ‘key’"

Pois há outros lados tamem , eu não mostro nada pra clicar se o cara ja nao tem acesso …

Exemplo… não se mostra uma aba que o cara num pode acessar,não se mostra um link de inserir se ele não insere o sistema TEM que se modelar ao perfil ou seja some ou aparece com as coisas isso pensando na view e se ele ta tentando acessar algo que não deve com certeza está forçando na url no meu caso. Tanto é que eu sempre guardo o usuario engraçadinho pra saber que ta tentando acessar por url direto e se precisar notificar.
Já aconteceu caso.Os caras da minha empresa são bem chato sem relação a autenticação e auditoria nesse sentido.
Pois minhas classes já são adaptadas pra auditoria também tipo desde o que o cara loga ate sair eu sei o que ele fez.Acontecia muito de usuario dizer.

“Sumiu aqui.não fui eu quem apagou” ai eu " apagou sim , apagou dia … hora minuto em segundo que ele fez" , antigamente ficava a responsabilidade pra gente.É aquele negócio cada projeto tem suas necessidades.Eu sempre preciso garantir certas coisas que são boas práticas.Essa são exemplos reais que sempre enfrentei.

vo dar uma pensada em algo simples pra ficar nesse modo com algumas customizações…

@VerifyAcess()
public void lista(){

}

Abraços a todos.

Alias bronx onde posso baixar seu jar?? Não achei um link pra dar uma olhada e brincar um pouco nele.

Eu estava passeando por aqui, e ressuscitando o tópico… o projeto do Bronx ficou muito bom. Lucas, não dá para criar lá no site do vraptor uma espécie de “área de plugins de fãs do vraptor” e disponibilizar esses pequenos projetos? Achei que se o peão procurar aqui nos tópicos fica complicado achar as informações corretas entre 5 páginas com posts bem estensos.

Pensei em uma página onde tenha uma lista dessas coisas, e talvez os docs e link para download.

Abraços

garcia-jj Eu fiz isso com a Loja Virtual do VRAptor 2

Acho que o Paulo deve Fazer isso !

jr

juniorsatanas:

garcia-jj Eu fiz isso com a Loja Virtual do VRAptor 2

Acho que o Paulo deve Fazer isso !

jr

Na verdade a tua idéia com a loja era criar um site demo do projeto.

Já a minha é de disponibilizar uma página no site do vraptor com uma lista dos projetos como esse do Bronx para que o pessoal possa ler sobre e baixar o projeto. Mas não um live demo.

Abraços

posso ver de colocar isso no site sim! vou marcar como TODO aqui e fazer assim que possível =)

Muito interessante, porém para entender como usar na thread fica meio complicado.

Bronx porque não monta um tutorial explicando detalhadamente?

parabéns

abraços

Srs., vortei!

Só agora tive tempo para parar e mexer novamente nisso.
Fiz quase todas as alterações sugeridas pela galera. Só falta implementar o esquema de forçar 403 qnd necessário (útil para chamadas ajax).

Enfim, o que pega é que estou desde ontem tentando testar o que fiz, e não estou conseguindo pq quando empacoto tudo num jar, o VRaptor não encontra os componentes que estão dentro dele (lança uma “org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name […]”).

Alguém aí já passou por isso?

Já tentei marcando e desmarcando o “Add directory entries”, tentei colocar tudo dentro do próprio VRaptor, e nada…¬¬

O trace completo:

org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'accessControllerInterceptor' defined in file [C:\Users\Bronx\apache-tomcat-6.0.20\wtpwebapps\controle-acesso\WEB-INF\classes\br\com\bronx\interceptor\AccessControllerInterceptor.class]: Unsatisfied dependency expressed through constructor argument with index 1 of type [br.com.bronx.vraptor.restrictrex.restriction.RestrictionChecker]: : No matching bean of type [br.com.bronx.vraptor.restrictrex.restriction.RestrictionChecker] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}; nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No matching bean of type [br.com.bronx.vraptor.restrictrex.restriction.RestrictionChecker] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}
	org.springframework.beans.factory.support.ConstructorResolver.createArgumentArray(ConstructorResolver.java:698)
	org.springframework.beans.factory.support.ConstructorResolver.autowireConstructor(ConstructorResolver.java:192)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.autowireConstructor(AbstractAutowireCapableBeanFactory.java:984)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBeanInstance(AbstractAutowireCapableBeanFactory.java:886)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:479)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:450)
	org.springframework.beans.factory.support.AbstractBeanFactory$2.getObject(AbstractBeanFactory.java:328)
	org.springframework.web.context.request.AbstractRequestAttributesScope.get(AbstractRequestAttributesScope.java:43)
	org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:324)
	org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:193)
	org.springframework.beans.factory.support.DefaultListableBeanFactory.getBeansOfType(DefaultListableBeanFactory.java:385)
	org.springframework.beans.factory.support.DefaultListableBeanFactory.getBeansOfType(DefaultListableBeanFactory.java:375)
	org.springframework.context.support.AbstractApplicationContext.getBeansOfType(AbstractApplicationContext.java:1069)
	org.springframework.beans.factory.BeanFactoryUtils.beansOfTypeIncludingAncestors(BeanFactoryUtils.java:221)
	br.com.caelum.vraptor.ioc.spring.VRaptorApplicationContext.getBean(VRaptorApplicationContext.java:240)
	br.com.caelum.vraptor.ioc.spring.SpringBasedContainer.instanceFor(SpringBasedContainer.java:58)
	br.com.caelum.vraptor.util.collections.Functions$1.apply(Functions.java:32)
	br.com.caelum.vraptor.util.collections.Functions$1.apply(Functions.java:1)
	com.google.common.collect.Lists$TransformingRandomAccessList.get(Lists.java:431)
	java.util.AbstractList$Itr.next(Unknown Source)
	com.google.common.collect.Iterators$7.computeNext(Iterators.java:602)
	com.google.common.collect.AbstractIterator.tryToComputeNext(AbstractIterator.java:135)
	com.google.common.collect.AbstractIterator.hasNext(AbstractIterator.java:130)
	com.google.common.collect.Lists.newArrayList(Lists.java:131)
	com.google.common.collect.Collections2$FilteredCollection.toArray(Collections2.java:219)
	br.com.caelum.vraptor.interceptor.DefaultInterceptorRegistry.interceptorsFor(DefaultInterceptorRegistry.java:50)
	br.com.caelum.vraptor.interceptor.InterceptorListPriorToExecutionExtractor.intercept(InterceptorListPriorToExecutionExtractor.java:42)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.interceptor.FlashInterceptor.intercept(FlashInterceptor.java:80)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.interceptor.ResourceLookupInterceptor.intercept(ResourceLookupInterceptor.java:67)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:48)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.core.DefaultRequestExecution.execute(DefaultRequestExecution.java:62)
	br.com.caelum.vraptor.VRaptor$1.insideRequest(VRaptor.java:91)
	br.com.caelum.vraptor.ioc.spring.SpringProvider.provideForRequest(SpringProvider.java:55)
	br.com.caelum.vraptor.VRaptor.doFilter(VRaptor.java:88)

root cause

org.springframework.beans.factory.NoSuchBeanDefinitionException: No matching bean of type [br.com.bronx.vraptor.restrictrex.restriction.RestrictionChecker] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}
	org.springframework.beans.factory.support.DefaultListableBeanFactory.raiseNoSuchBeanDefinitionException(DefaultListableBeanFactory.java:896)
	org.springframework.beans.factory.support.DefaultListableBeanFactory.doResolveDependency(DefaultListableBeanFactory.java:765)
	org.springframework.beans.factory.support.DefaultListableBeanFactory.resolveDependency(DefaultListableBeanFactory.java:680)
	org.springframework.beans.factory.support.ConstructorResolver.resolveAutowiredArgument(ConstructorResolver.java:771)
	org.springframework.beans.factory.support.ConstructorResolver.createArgumentArray(ConstructorResolver.java:691)
	org.springframework.beans.factory.support.ConstructorResolver.autowireConstructor(ConstructorResolver.java:192)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.autowireConstructor(AbstractAutowireCapableBeanFactory.java:984)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBeanInstance(AbstractAutowireCapableBeanFactory.java:886)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:479)
	org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:450)
	org.springframework.beans.factory.support.AbstractBeanFactory$2.getObject(AbstractBeanFactory.java:328)
	org.springframework.web.context.request.AbstractRequestAttributesScope.get(AbstractRequestAttributesScope.java:43)
	org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:324)
	org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:193)
	org.springframework.beans.factory.support.DefaultListableBeanFactory.getBeansOfType(DefaultListableBeanFactory.java:385)
	org.springframework.beans.factory.support.DefaultListableBeanFactory.getBeansOfType(DefaultListableBeanFactory.java:375)
	org.springframework.context.support.AbstractApplicationContext.getBeansOfType(AbstractApplicationContext.java:1069)
	org.springframework.beans.factory.BeanFactoryUtils.beansOfTypeIncludingAncestors(BeanFactoryUtils.java:221)
	br.com.caelum.vraptor.ioc.spring.VRaptorApplicationContext.getBean(VRaptorApplicationContext.java:240)
	br.com.caelum.vraptor.ioc.spring.SpringBasedContainer.instanceFor(SpringBasedContainer.java:58)
	br.com.caelum.vraptor.util.collections.Functions$1.apply(Functions.java:32)
	br.com.caelum.vraptor.util.collections.Functions$1.apply(Functions.java:1)
	com.google.common.collect.Lists$TransformingRandomAccessList.get(Lists.java:431)
	java.util.AbstractList$Itr.next(Unknown Source)
	com.google.common.collect.Iterators$7.computeNext(Iterators.java:602)
	com.google.common.collect.AbstractIterator.tryToComputeNext(AbstractIterator.java:135)
	com.google.common.collect.AbstractIterator.hasNext(AbstractIterator.java:130)
	com.google.common.collect.Lists.newArrayList(Lists.java:131)
	com.google.common.collect.Collections2$FilteredCollection.toArray(Collections2.java:219)
	br.com.caelum.vraptor.interceptor.DefaultInterceptorRegistry.interceptorsFor(DefaultInterceptorRegistry.java:50)
	br.com.caelum.vraptor.interceptor.InterceptorListPriorToExecutionExtractor.intercept(InterceptorListPriorToExecutionExtractor.java:42)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.interceptor.FlashInterceptor.intercept(FlashInterceptor.java:80)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.interceptor.ResourceLookupInterceptor.intercept(ResourceLookupInterceptor.java:67)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:46)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.core.ToInstantiateInterceptorHandler.execute(ToInstantiateInterceptorHandler.java:48)
	br.com.caelum.vraptor.core.DefaultInterceptorStack.next(DefaultInterceptorStack.java:59)
	br.com.caelum.vraptor.core.DefaultRequestExecution.execute(DefaultRequestExecution.java:62)
	br.com.caelum.vraptor.VRaptor$1.insideRequest(VRaptor.java:91)
	br.com.caelum.vraptor.ioc.spring.SpringProvider.provideForRequest(SpringProvider.java:55)
	br.com.caelum.vraptor.VRaptor.doFilter(VRaptor.java:88)