电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 使用 Spring Security 保护 Web 应用的安全（5） [打印本页]

作者: look_w 时间: 2018-9-19 19:53 标题: 使用 Spring Security 保护 Web 应用的安全（5）

访问控制列表之前提到的安全保护和权限控制都是只针对 URL 或是方法调用，只对一类对象起作用。而在有些情况下，不同领域对象实体所要求的权限控制是不同的。以第一类示例应用来说，系统中有报表这一类实体。由于报表的特殊性，只有具有角色 ROLE_PRESIDENT的用户才可以创建报表。对于每份报表，创建者可以设定其对于不同用户的权限。比如有的报表只允许特定的几个用户可以查看。对于这样的需求，就需要对每个领域对象的实例设置对应的访问控制权限。Spring Security 提供了对访问控制列表（Access Control List，ACL）的支持，可以很方便的对不同的领域对象设置针对不同用户的权限。
Spring Security 中的访问控制列表的实现中有 3 个重要的概念，对应于 4 张数据库表。

授权的主体：一般是系统中的用户。由 ACL_SID表来表示。
领域对象：表示系统中需要进行访问控制的实体。由 ACL_CLASS和 ACL_OBJECT_IDENTITY表来表示，前者保存的是实体所对应的 Java 类的名称，而后者保存的是实体本身。
访问权限：表示一个用户对一个领域对象所具有的权限。由表 ACL_ENTRY来表示。

Spring Security 已经提供了参考的数据库表模式和相应的基于 JDBC 的实现。在大多数情况下，使用参考实现就可以满足需求了。类 org.springframework.security.acls.jdbc.JdbcMutableAclService可以对访问控制列表进行查询、添加、更新和删除的操作，是开发人员最常直接使用的类。该类的构造方法需要 3 个参数，分别是 javax.sql.DataSource表示的数据源、org.springframework.security.acls.jdbc.LookupStrategy表示的数据库的查询策略和 org.springframework.security.acls.model.AclCache表示的访问控制列表缓存。数据源可以使用第一个示例应用中已有的数据源。查询策略可以使用默认的实现 org.springframework.security.acls.jdbc.BasicLookupStrategy。缓存可以使用基于 EhCache 的缓存实现 org.springframework.security.acls.domain.EhCacheBasedAclCache。中给出了相关代码。
清单 8. 使用 JDBC 的访问控制列表服务基本配置

1
2
3
4
5
6
7
8

如所示，需要注意的是 org.springframework.security.acls.jdbc.JdbcMutableAclService的属性 classIdentityQuery和 sidIdentityQuery。Spring Security 的默认数据库模式使用了自动增长的列作为主键。而在实现中，需要能够获取到新插入的列的 ID。因此需要与数据库实现相关的 SQL 查询语言来获取到这个 ID。Spring Security 默认使用的 HSQLDB，因此这两个属性的默认值是 HSQLDB 支持的 call identity()。如果使用的数据库不是 HSQLDB 的话，则需要根据数据库实现来设置这两个属性的值。第一个示例应用使用的是 Apache Derby 数据库，因此这两个属性的值是 values IDENTITY_VAL_LOCAL()。对于 MySQL 来说，这个值是 select @@identity。给出了使用 org.springframework.security.acls.jdbc.JdbcMutableAclService来管理访问控制列表的 Java 代码。
清单 9. 使用访问控制列表服务

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

public void createNewReport(String title, String content) throws ServiceException {
final Report report = new Report();
report.setTitle(title);
report.setContent(content);

transactionTemplate.execute(new TransactionCallback<Object>() {
   public Object doInTransaction(TransactionStatus status) {
         reportDao.create(report);
         addPermission(report.getId(), new PrincipalSid(getUsername()),
            BasePermission.ADMINISTRATION);
         return null;
   }
});
}

public void grantRead(final String username, final Long reportId) {
transactionTemplate.execute(new TransactionCallback<Object>() {
   public Object doInTransaction(TransactionStatus status) {
         addPermission(reportId, new PrincipalSid(username), BasePermission.READ);
         return null;
   }
});
}

private void addPermission(Long reportId, Sid recipient, Permission permission) {
MutableAcl acl;
ObjectIdentity oid = new ObjectIdentityImpl(Report.class, reportId);

try {
   acl = (MutableAcl) mutableAclService.readAclById(oid);
} catch (NotFoundException nfe) {
   acl = mutableAclService.createAcl(oid);
}

acl.insertAce(acl.getEntries().size(), permission, recipient, true);
mutableAclService.updateAcl(acl);
}

中的 addPermission(Long reportId, Sid recipient, Permission permission)方法用来为某个报表添加访问控制权限，参数 reportId表示的是报表的 ID，用来标识一个报表；recipient表示的是需要授权的用户；permission表示的是授予的权限。createNewReport()方法用来创建一个报表，同时给创建报表的用户授予管理权限（BasePermission.ADMINISTRATION）。grantRead()方法用来给某个用户对某个报表授予读权限（BasePermission.READ）。这里需要注意的是，对访问控制列表的操作都需要在一个事务中进行处理。利用 Spring 提供的事务模板（org.springframework.transaction.support.TransactionTemplate）就可以很好的处理事务。对于权限，Spring Security 提供了 4 种基本的权限：读、写、删除和管理。开发人员可以在这基础上定义自己的权限。
在介绍完访问控制列表之后，下面介绍 Spring Security 提供的 JSP 标签库。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)