我们的团队目前使用Solr作为搜索解决方案的后端,我们目前正在考虑为其添加一些安全约束。我们目前正在研究不同级别的安全,其中可能包括:
1) 数据集/核心级安全:阻止未经授权的用户访问整个索引。
2) 字段级安全:某些字段被阻止访问。
3) 文档级安全性:某些文档被阻止访问。
到目前为止,我的研究表明,大多数人都为Solr实现了基于URL路径的安全性,但似乎没有人有过上述细粒度安全性的经验。我们当前的用例是在支出分析市场中,在该市场中,对数据集的访问需要在不同的粒度级别上进行严格控制。
根据我们迄今为止的发现,我们的问题是:
1) 是否可以扩展Solr,使其透明地处理这些不同级别的安全性?还是我们应该考虑在搜索应用程序中控制所有这些?2) 是否有任何扩展或包已经做了类似的事情?
提前感谢您的帮助!
2条答案
按热度按时间nwlls2ji1#
正如您已经发现的,Solr目前没有实现任何类型的文档级安全性。大多数人在HTTP级别或使用简单的过滤器查询在应用程序级别处理安全性。显然,在这种情况下,Solr访问需要仅限于此应用程序,例如使用HTTP身份验证。
也就是说,在实现文档级安全性方面有一些努力:SOLR-1834和SOLR-1872。这些补丁已经有一年多的历史了,因此将它们应用于Solr的最新版本可能会很麻烦。
另请参阅关于该主题的讨论:
jxct1oxe2#
我意识到这是一个古老的问题,但没有太多(有吗?)自Solr公司被要求以来,Solr公司一直致力于帮助解决这一问题。https://web.archive.org/web/20140625220726/http://www.searchtechnologies.com/search-engine-security.html上有一篇优秀的一般性文章处理了这个问题;它没有规定具体的实现,但讨论了不同方法的优缺点,非常值得一读。