AuthC/Z: Ãœberblick und Meinun gen?


#1

Gibt es zufällig einen Überblick über die Vielzahl an Plugins/Gems, die
es für die Anmeldung (AuthC) und Rechteprüfung (AuthZ) von Benutzern
gibt? Alternativ nehme ich auch Meinungen.

Der Klassiker für Authentication ist vermutlich nach wie vor Restful
Authentication (bzw. Acts As Authenticated), das vermutlich inzwischen
durch Rack-Middleware für OAuth und OpenID ergänzt wird. AuthLogic
könnte sich, nur den Features nach geurteilt, als Nachfolger von RA
etablieren.

Für Authorization gab es, wenn ich das richtig überblicke, nie ein
dominantes System, statt dessen eine umso größere unübersichtliche
Auswahl an Plugins, Gems und wahrscheinlich vielen
Eigenimplementierungen für die jeweiligen Bedürfnisse. Eine kleinen,
aber nicht mehr aktuellen Überblick gibt es auf

http://www.vaporbase.com/postings/Authorization_in_Rails

Meine Erfahrung ist, dass Systeme, die dazu zwingen, an vielen Stellen
zu prüfen, ob der Benutzer eine bestimmte Rolle hat, sehr schnell
unübersichtlich werden. In Controllern und Views sollten nur
spezifische(!) Rechte abgefragt werden, die zentral zu Rollen gebündelt
werden. Die übliche Praxis, zu prüfen, ob der Benutzer Admin ist (oder
“Adminrechte” hat) oder diese oder jene Rolle inne hat, führt nur dazu,
dass die eigentlichen Entscheidungen darüber, wer was darf, über das
ganze System verstreut werden. Dadurch ist kaum nachvollziehbar, welche
Rechte ein bestimmter Benutzer tatsächlich hat.

Michael


Michael S.
mailto:removed_email_address@domain.invalid
http://www.schuerig.de/michael/


#2

On Apr 12, 2009, at 02:29, Michael S. wrote:

Gibt es zufällig einen Überblick

Fuer AuthZ:

http://steffenbartsch.com/blog/2008/08/rails-authorization-plugins/

(Letztes Update war 2009-02-11.)

Gruesse, Carsten


#3

Hallo Michael,

Am 12.04.2009 um 10:17 schrieb Carsten B.:

On Apr 12, 2009, at 02:29, Michael S. wrote:

Gibt es zufällig einen Überblick

Fuer AuthZ:

http://steffenbartsch.com/blog/2008/08/rails-authorization-plugins/

Das ist auch das einzige, das ich bisher kenne. Ich denke dass
http://wiki.github.com/stffn/declarative_authorization
deiner Vorstellung am nähesten kommt.
Falls du eine Lösung für deinen Ansatz findest, so würde ich mich (und
einige andere wohl auch) sehr über eine kurze Info freuen.

Grüße Stefan


#4

Michael S. schrieb:

Gibt es zufällig einen Überblick über die Vielzahl an Plugins/Gems, die
es für die Anmeldung (AuthC) und Rechteprüfung (AuthZ) von Benutzern
gibt? Alternativ nehme ich auch Meinungen.

Der Klassiker für Authentication ist vermutlich nach wie vor Restful
Authentication (bzw. Acts As Authenticated), das vermutlich inzwischen
durch Rack-Middleware für OAuth und OpenID ergänzt wird. AuthLogic
könnte sich, nur den Features nach geurteilt, als Nachfolger von RA
etablieren.

evtl noch: “Clearance”

http://giantrobots.thoughtbot.com/2009/2/9/clearance-rails-authentication-for-developers-who-write-tests

http://github.com/thoughtbot/clearance/tree/master

hashrocket hat da auch mal etwas mitgemacht, seit januar wohl aber nicht
mehr(?): http://github.com/hashrocket/clearance/tree/master

Grüße,Roland


#5

Hallo,

nachdem ich meine Applikatiion auf Rails 2.3 und auf Cucumber umgestellt
habe, habe ich gestern (und bisher vergeblich) versucht die aktuelle
Version von restful_authentication zum Laufen zu kriegen. Vergeblich
heißt, daß die features nicht durchlaufen und ich auch einige Änderungen an
Steps und Environment durchführen mußte, damit überhaupt mehr als ein Scenario im
Stück läuft.

Nach der Erfahrung bin ich gern bereit auf etwas arverwandtes
umzusteigen. Ich benötige keine zusätzlichen Funktionen wie z.B.
Permissioning / Rollen, nur Anmeldebestätigung per email, ggf. Captcha,
vor allem aber funktionierender Code und Cucumber Tests.

Da meine Freizeit limitiert ist wäre ich dankbar, wenn jemand von Euch
eine Empfehlung hinsichtlich meiner obigen Wünsche abgeben
würde.
Gruß! - Bernd


#6

Am 14.04.2009 um 10:08 schrieb Bernd S.:

Nach der Erfahrung bin ich gern bereit auf etwas arverwandtes
umzusteigen. Ich benötige keine zusätzlichen Funktionen wie z.B.
Permissioning / Rollen, nur Anmeldebestätigung per email, ggf.
Captcha, vor allem aber funktionierender Code und Cucumber Tests.

Ich bin hiermit zufrieden und es ist übersichtlich…

http://www.robertsosinski.com/2008/02/23/simple-and-restful-authentication-for-ruby-on-rails/

recovery gibt es dann auch noch dort…

Gruß

Werner L.
removed_email_address@domain.invalid


#7

On Sunday 12 April 2009, Carsten B. wrote:

On Apr 12, 2009, at 02:29, Michael S. wrote:

Gibt es zufällig einen Überblick

Fuer AuthZ:

http://steffenbartsch.com/blog/2008/08/rails-authorization-plugins/

Danke, das war ein sehr hilfreicher Hinweis, gerade wegen der
enthaltenen Links.

Wie sieht es denn mit euren Meinungen zu den verschiedenen Plugins
aus?

Michael


Michael S.
mailto:removed_email_address@domain.invalid
http://www.schuerig.de/michael/