spring security:访问控制列表来保护领域对象

最新推荐文章于 2024-07-09 10:56:03 发布
最新推荐文章于 2024-07-09 10:56:03 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: security

之前提到的安全保护和权限控制都是只针对 URL 或是方法调用,只对一类对象起作用。而在有些情况下,不同领域对象实体所要求的权限控制是不同的。以第一类示例应用来说,系统中有报表这一类实体。由于报表的特殊性,只有具有角色 ROLE_PRESIDENT的用户才可以创建报表。对于每份报表,创建者可以设定其对于不同用户的权限。比如有的报表只允许特定的几个用户可以查看。对于这样的需求,就需要对每个领域对象的实例设置对应的访问控制权限。Spring Security 提供了对访问控制列表(Access Control List,ACL)的支持,可以很方便的对不同的领域对象设置针对不同用户的权限。

Spring Security 中的访问控制列表的实现中有 3 个重要的概念,对应于 4 张数据库表。

  • 授权的主体:一般是系统中的用户。由 ACL_SID表来表示。
  • 领域对象:表示系统中需要进行访问控制的实体。由 ACL_CLASS和 ACL_OBJECT_IDENTITY表来表示,前者保存的是实体所对应的 Java 类的名称,而后者保存的是实体本身。
  • 访问权限:表示一个用户对一个领域对象所具有的权限。由表 ACL_ENTRY来表示。

Spring Security 已经提供了参考的数据库表模式和相应的基于 JDBC 的实现。在大多数情况下,使用参考实现就可以满足需求了。类org.springframework.security.acls.jdbc.JdbcMutableAclService可以对访问控制列表进行查询、添加、更新和删除的操作,是开发人员最常直接使用的类。该类的构造方法需要 3 个参数,分别是 javax.sql.DataSource表示的数据源、org.springframework.security.acls.jdbc.LookupStrategy表示的数据库的查询策略和org.springframework.security.acls.model.AclCache表示的访问控制列表缓存。数据源可以使用第一个示例应用中已有的数据源。查询策略可以使用默认的实现 org.springframework.security.acls.jdbc.BasicLookupStrategy。缓存可以使用基于 EhCache 的缓存实现 org.springframework.security.acls.domain.EhCacheBasedAclCache代码清单 8中给出了相关代码。

清单 8. 使用 JDBC 的访问控制列表服务基本配置
 <bean id="aclService"
    class="org.springframework.security.acls.jdbc.JdbcMutableAclService"> 
    <constructor-arg ref="dataSource" /> 
    <constructor-arg ref="lookupStrategy" /> 
    <constructor-arg ref="aclCache" /> 
    <property name="classIdentityQuery" value="values IDENTITY_VAL_LOCAL()"/> 
    <property name="sidIdentityQuery" value="values IDENTITY_VAL_LOCAL()"/> 	
 </bean>

如 代码清单 8所示,需要注意的是 org.springframework.security.acls.jdbc.JdbcMutableAclService的属性classIdentityQuery和 sidIdentityQuery。Spring Security 的默认数据库模式使用了自动增长的列作为主键。而在实现中,需要能够获取到新插入的列的 ID。因此需要与数据库实现相关的 SQL 查询语言来获取到这个 ID。Spring Security 默认使用的 HSQLDB,因此这两个属性的默认值是 HSQLDB 支持的 call identity()。如果使用的数据库不是 HSQLDB 的话,则需要根据数据库实现来设置这两个属性的值。第一个示例应用使用的是 Apache Derby 数据库,因此这两个属性的值是 values IDENTITY_VAL_LOCAL()。对于 MySQL 来说,这个值是select @@identity代码清单 9给出了使用 org.springframework.security.acls.jdbc.JdbcMutableAclService来管理访问控制列表的 Java 代码。

清单 9. 使用访问控制列表服务
 public void createNewReport(String title, String content) throws ServiceException { 
    final Report report = new Report(); 
    report.setTitle(title); 
    report.setContent(content); 
		
    transactionTemplate.execute(new TransactionCallback<Object>() { 
        public Object doInTransaction(TransactionStatus status) { 
            reportDao.create(report); 
            addPermission(report.getId(), new PrincipalSid(getUsername()), 
                BasePermission.ADMINISTRATION); 
            return null; 
        } 
    }); 
 } 
	
 public void grantRead(final String username, final Long reportId) { 
    transactionTemplate.execute(new TransactionCallback<Object>() { 
        public Object doInTransaction(TransactionStatus status) { 
            addPermission(reportId, new PrincipalSid(username), BasePermission.READ); 
            return null; 
        } 
    }); 
 } 

 private void addPermission(Long reportId, Sid recipient, Permission permission) { 
    MutableAcl acl; 
    ObjectIdentity oid = new ObjectIdentityImpl(Report.class, reportId); 

    try { 
        acl = (MutableAcl) mutableAclService.readAclById(oid); 
    } catch (NotFoundException nfe) { 
        acl = mutableAclService.createAcl(oid); 
    } 

    acl.insertAce(acl.getEntries().size(), permission, recipient, true); 
    mutableAclService.updateAcl(acl); 
 }

代码清单 9中的 addPermission(Long reportId, Sid recipient, Permission permission)方法用来为某个报表添加访问控制权限,参数 reportId表示的是报表的 ID,用来标识一个报表;recipient表示的是需要授权的用户;permission表示的是授予的权限。createNewReport()方法用来创建一个报表,同时给创建报表的用户授予管理权限(BasePermission.ADMINISTRATION)。grantRead()方法用来给某个用户对某个报表授予读权限(BasePermission.READ)。这里需要注意的是,对访问控制列表的操作都需要在一个事务中进行处理。利用 Spring 提供的事务模板(org.springframework.transaction.support.TransactionTemplate)就可以很好的处理事务。对于权限,Spring Security 提供了 4 种基本的权限:读、写、删除和管理。开发人员可以在这基础上定义自己的权限。

shierqu
关注
专栏目录
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
对象的安全(Domain Object Security)
java开发指南博客 【转载】
02-02 439
24.1.概述 请注意:在2.0.0之前,Spring Security称为AcegiSecurity。老的Acegi Security提供了一个ACL模块,放在org.[acegisecurity/springsecurity].acl包下。这个老的现在已经被抛弃,并可能会在将来的Spring Security发行版中去掉。本章讨论新的ACL模块,官方推荐在Spring Securi...
四, Spring JDBC配置及CRUD操作
好多可乐的博客
02-06 181
一,Spring JDBC 中配置jdbc Template对象实现增删改查操作: 一,数据准备: 在 Navicat 新建数据库,注意:字符集–>utf8mb4(4字节utf-8编码) 二,创建Maven工程,引入SpringSpringJDBC、MySQL JDBC驱动的相关依赖: Spring 框架的依赖 Spring-JDBC–>对数据库进行 增删改查操作(版本号和Spring框架依赖保持一致) 引入MySQL-JDBC驱动-版本号与数据库版本号保持一致(因为底层是采用
SpringSecurity中文文档(Domain Object Security (ACLs))
最新发布
znjy111的博客
07-09 820
本节描述 SpringSecurity 如何使用访问控制列表(ACL)提供域对象安全性。复杂的应用程序通常需要定义超出 Web 请求或方法调用级别的访问权限。相反,安全决策需要包括 who (Authentication)、 where (MethodInvation)和 what (Some DomainObject)。换句话说,授权决策还需要考虑方法调用的实际域对象实例主题。假设您正在为宠物诊所设计一个应用程序。基于 Spring 的应用程序的用户主要有两类: 宠物诊所的工作人员和宠物诊所的客户。
spring ACL 权限控制
lixiaotao_1的博客
12-20 2351
1 acl权限的继承机制; 体现在菜单树上就是,用户A拥有菜单a的增删改查等管理权限,则菜单a的子菜单菜单a1可直接继承菜单a所具有的权限; 2 acl可以方便地提供数据的读写控制权限; acl的缺点在于,对于每一条需要控制权限的数据对象都要在对应的权限记录表中插入1到n条权限控制数据; 因而,数据量过大时,将会带来性能瓶颈;因此,适合使用在数据量中小型规模的项目中。 3 对于...
第 23 章 Spring Security中的ACL
weixin_34223655的博客
07-13 561
第23章Spring Security中的ACL ACL访问控制列表(Access Controller List),它是用来做细粒度权限控制所用的一种权限模型。对ACL最简单的描述就是两个业务员,每个人只能查看操作自己签的合同,而不能看到对方的合同信息。 下面我们会介绍Spring Security中是如何实现ACL的。 23....
Spring SecurityAcl的支持
weixin_30532759的博客
01-08 253
Acl的支持 目录 1.1准备工作 1.2表功能介绍 1.2.1表acl_sid 1.2.2表acl_class 1.2.3表acl_object_identity 1.2.4表acl_entry 1.3Acl主要接口 1.4配置AclServi...
Spring Boot2.0使用Spring Security的示例代码
08-27
用户授权方面,Spring Security 提供了基于角色的访问控制访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。 在 Spring Boot 2.0 中使用 Spring Security,可以使用 Maven ...
Spring Security单项目权限设计过程解析
08-25
4. 定义访问控制规则,如 URL 的权限映射。 5. 搭建登录页面和逻辑,处理用户认证请求。 6. 可选:集成其他安全特性,如记住我功能、CSRF 防护等。 通过以上步骤,我们可以构建出一个具备完整权限控制的系统。学习 ...
spring security acl 实例
12-01
spring security acl 代码实例 spring security acl 代码实例spring security acl 代码实例spring security acl 代码实例spring security acl 代码实例spring security acl 代码实例
使用 Spring Security 保护 Web 应用的安全
07-12 983
在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
SpringSecurity中应用 权限控制模型ACL(AccessControlList)
Qiao712的博客
03-30 1123
访问控制列表 Access Control List Spring Security ACL
Spring Security前置知识2--域与跨域
天下英雄出我辈,一入江湖岁月催
03-28 627
文章目录一、结论二、什么是域 Domain三、什么是域名1、如何划分域2、域名与hostname四、跨域1、什么是源,什么是跨源(域)1)一次跨域过程的跟踪2、同源策略 (SOP Same Origin Policy)1)什么是同源策略2)为什么需要同源策略3)如何控制同源策略a) CORS五、如何解决跨域1、CORS2、JSONP1)为什么叫做JSONP2)CORS与JSONP对比3、PostM...
三种权限设计方案的归纳和比较
sooxin的专栏
10-31 893
权限设计是很多系统重要的组成部分,主要用于控制功能和流程,本文将几种常见的权限设计方案(权限系统的名都是自己起的)的基本设计写出来,其中不恰当处还请大家指出,我们来讨论一下. 1.等级权限系统 这种权限系统在论坛中很常见,在这种系统中,权限级别如同官阶从低到高排列,每个用户拥有一个权限,其中设定了这个用户的权限等级,在用户需要执行操作前先查看其权限等级是否大于执行操作所需要的权...
java mutable,java – JdbcMutableAclService – 必须运行Transaction
weixin_30315507的博客
03-13 134
我正在尝试将spring security acl实现到项目中.在构建主配置部分并创建相应的数据库模式之后,我正在尝试创建一些ACE并让魔法发生.但我一遍又一遍地面对这个例外java.lang.IllegalArgumentException: Transaction must be runningorg.springframework.util.Assert.isTrue(Assert.java...
SpringBoot整合Springsecurity实现数据库登录以及权限控制
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
基于Spring Security实现权限管理系统
热门推荐
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
Spring-Security框架详解:安全访问控制
访问控制列表ACL)是Spring Security的另一大特色,允许对对象级别的权限进行管理,这意味着开发者可以精细控制到数据对象的访问权限。Spring Security还实现了单点登录(SSO)功能,通过集成CAS(Central ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值