Spring Security中的ACL

最新推荐文章于 2023-10-28 13:26:53 发布
最新推荐文章于 2023-10-28 13:26:53 发布
阅读量1.2w 收藏 5
点赞数
分类专栏: Java 文章标签: security spring class bean delete list

第 23 章 Spring Security中的ACL

ACL即访问控制列表(Access Controller List),它是用来做细粒度权限控制所用的一种权限模型。对ACL最简单的描述就是两个业务员,每个人只能查看操作自己签的合同,而不能看到对方的合同信息。
下面我们会介绍Spring Security中是如何实现ACL的。

23.1. 准备数据库和aclService

ACL所需的四张表,表结构见附录: 附录 E, 数据库表结构
然后我们需要配置aclService,它负责与数据库进行交互。

23.1.1. 为acl配置cache

默认使用ehcache,spring security提供了一些默认的实现类。 
<bean id="aclCache" class="org.springframework.security.acls.jdbc.EhCacheBasedAclCache">
    <constructor-arg ref="aclEhCache"/>
</bean>
<bean id="aclEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="cacheName" value="aclCache"/>
</bean>
在ehcache.xml中配置对应的aclCache缓存策略。 
<cache
    name="aclCache"
    maxElementsInMemory="1000"
    eternal="false"
    timeToIdleSeconds="600"
    timeToLiveSeconds="3600"
    overflowToDisk="true"
/>

23.1.2. 配置lookupStrategy

简单来说,lookupStrategy的作用就是从数据库中读取信息,把这些信息提供给aclService使用,所以我们要为它配置一个dataSource,配置中还可以看到一个aclCache,这就是上面我们配置的缓存,它会把资源最大限度的利用起来。 
<bean id="lookupStrategy" class="org.springframework.security.acls.jdbc.BasicLookupStrategy">
    <constructor-arg ref="dataSource"/>
    <constructor-arg ref="aclCache"/>
    <constructor-arg>
        <bean class="org.springframework.security.acls.domain.AclAuthorizationStrategyImpl">
            <constructor-arg>
                <list>
                    <ref local="adminRole"/>
                    <ref local="adminRole"/>
                    <ref local="adminRole"/>
                </list>
            </constructor-arg>
        </bean>
    </constructor-arg>
    <constructor-arg>
        <bean class="org.springframework.security.acls.domain.ConsoleAuditLogger"/>
    </constructor-arg>
</bean>
<bean id="adminRole" class="org.springframework.security.GrantedAuthorityImpl">
    <constructor-arg value="ROLE_ADMIN"/>
</bean>
中间一部分可能会让人感到困惑,为何一次定义了三个adminRole呢?这是因为一旦acl信息被保存到数据库中,无论是修改它的从属者,还是变更授权,抑或是修改其他的ace信息,都需要控制操作者的权限,这里配置的三个权限将对应于上述的三种修改操作,我们把它配置成,只有ROLE_ADMIN才能执行这三种修改操作。

23.1.3. 配置aclService

当我们已经拥有了dataSource, lookupStrategy和aclCache的时候,就可以用它们来组装aclService了,之后所有的acl操作都是基于aclService展开的。 
<bean id="aclService" class="org.springframework.security.acls.jdbc.JdbcMutableAclService">
    <constructor-arg ref="dataSource"/>
    <constructor-arg ref="lookupStrategy"/>
    <constructor-arg ref="aclCache"/>
</bean>

23.2. 使用aclService管理acl信息

当我们添加了一条信息,要在acl中记录这条信息的ID,所有者,以及对应的授权信息。下列代码在添加信息后执行,用于添加对应的acl信息。 
ObjectIdentity oid = new ObjectIdentityImpl(Message.class, message.getId());
MutableAcl acl = mutableAclService.createAcl(oid);
acl.insertAce(0, BasePermission.ADMINISTRATION,
    new PrincipalSid(owner), true);
acl.insertAce(1, BasePermission.DELETE,
    new GrantedAuthoritySid("ROLE_ADMIN"), true);
acl.insertAce(2, BasePermission.READ,
    new GrantedAuthoritySid("ROLE_USER"), true);
mutableAclService.updateAcl(acl);
第一步,根据class和id生成object的唯一标示。
第二步,根据object的唯一标示,创建一个acl。
第三步,为acl增加ace,这里我们让对象的所有者拥有对这个对象的“管理”权限,让“ROLE_ADMIN”拥有对这个对象的“删除”权限,让“ROLE_USER”拥有对这个对象的“读取”权限。
最后,更新acl信息。
当我们删除对象时,也要删除对应的acl信息。下列代码在删除信息后执行,用于删除对应的acl信息。 
ObjectIdentity oid = new ObjectIdentityImpl(Message.class, id);
mutableAclService.deleteAcl(oid, false);
使用class和id可以唯一标示一个对象,然后使用deleteAcl()方法将对象对应的acl信息删除。

23.3. 使用acl控制delete操作

上述代码中,除了对象的拥有者之外,我们还允许“ROLE_ADMIN”也可以删除对象,但是我们不会允许除此之外的其他用户拥有删除对象的权限,为了限制对象的删除操作,我们需要修改Spring Security的默认配置。
首先要增加一个对delete操作起作用的表决器。 
<bean id="aclMessageDeleteVoter" class="org.springframework.security.vote.AclEntryVoter">
    <constructor-arg ref="aclService"/>
    <constructor-arg value="ACL_MESSAGE_DELETE"/>
    <constructor-arg>
        <list>
            <util:constant static-field="org.springframework.security.acls.domain.BasePermission.ADMINISTRATION"/>
            <util:constant static-field="org.springframework.security.acls.domain.BasePermission.DELETE"/>
        </list>
    </constructor-arg>
    <property name="processDomainObjectClass" value="com.family168.springsecuritybook.ch12.Message"/>
</bean>
它只对Message这个类起作用,而且可以限制只有管理和删除权限的用户可以执行删除操作。
然后要将这个表决器添加到AccessDecisionManager中。 
<bean id="aclAccessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
    <property name="decisionVoters">
        <list>
            <bean class="org.springframework.security.vote.RoleVoter"/>
            <ref local="aclMessageDeleteVoter"/>
        </list>
    </property>
</bean>
现在AccessDecisionManager中有两个表决器了,除了默认的RoleVoter之外,又多了一个我们刚刚添加的aclMessageDeleteVoter。
现在可以把新的AccessDecisionManager赋予全局方法权限管理器了。 
<global-method-security secured-annotations="enabled"
    access-decision-manager-ref="aclAccessDecisionManager"/>
然后我们就可以在MessageService.java中使用Secured注解,控制删除操作了。 
@Transactional
@Secured("ACL_MESSAGE_DELETE")
public void remove(Long id) {
    Message message = this.get(id);
    list.remove(message);
    ObjectIdentity oid = new ObjectIdentityImpl(Message.class, id);
    mutableAclService.deleteAcl(oid, false);
}
实际上,我们最好不要让没有权限的操作者看到remove这个链接,可以使用taglib隐藏当前用户无权看到的信息。 
<sec:accesscontrollist domainObject="${item}" hasPermission="8,16">
      |
      <a href="message.do?action=remove&id=${item.id}">Remove</a>
</sec:accesscontrollist>
8, 16是acl默认使用的掩码,8表示DELETE,16表示ADMINISTRATOR,当用户不具有这些权限的时候,他在页面上就看不到remove链接,也就无法执行操作了。
这比让用户可以执行remove操作,然后跑出异常,警告访问被拒绝要友好得多。

23.4. 控制用户可以看到哪些信息

当用户无权查看一些信息时,我们需要配置afterInvocation,使用后置判断的方式,将用户无权查看的信息,从MessageService返回的结果集中过滤掉。
后置判断有两种形式,一种用来控制单个对象,另一种可以过滤集合。 
<bean id="afterAclRead" class="org.springframework.security.afterinvocation.AclEntryAfterInvocationProvider">
    <sec:custom-after-invocation-provider/>
    <constructor-arg ref="aclService"/>
    <constructor-arg>
        <list>
            <util:constant static-field="org.springframework.security.acls.domain.BasePermission.ADMINISTRATION"/>
            <util:constant static-field="org.springframework.security.acls.domain.BasePermission.READ"/>
        </list>
    </constructor-arg>
</bean>
<bean id="afterAclCollectionRead" class="org.springframework.security.afterinvocation.AclEntryAfterInvocationCollectionFilteringProvider">
    <sec:custom-after-invocation-provider/>
    <constructor-arg ref="aclService"/>
    <constructor-arg>
        <list>
            <util:constant static-field="org.springframework.security.acls.domain.BasePermission.ADMINISTRATION"/>
            <util:constant static-field="org.springframework.security.acls.domain.BasePermission.READ"/>
        </list>
    </constructor-arg>
</bean>
afterAclRead可以控制单个对象是否可以显示,afterAclCollectionRead则用来过滤集合中哪些对象可以显示。 [6]
对这两个bean都是用了custom-after-invocation-provider标签,将它们加入的后置判断的行列,下面我们为MessageService.java中的对应方法添加Secured注解,之后它们就可以发挥效果了。 
@Secured({"ROLE_USER", "AFTER_ACL_READ"})
public Message get(Long id) {
    for (Message message : list) {
        if (message.getId().equals(id)) {
            return message;
        }
    }
    return null;
}
@Secured({"ROLE_USER", "AFTER_ACL_COLLECTION_READ"})
public List getAll() {
    return list;
}
以上就是Spring Security支持的ACL,我们只演示了DELETE一种情况,就已经编写了如此之多的xml配置文件,很难想象随着对象的增多,这个配置工作要扩展到什么程度,如何才能像之前配置user和resource时,将这些acl的信息都配置到database中呢?目前还是一个我们正在考虑的问题。

[6这个地方会引发一个经典的问题,虎牙子,一般的思路是使用动态SQL的方式,在查询的时候就过滤掉无权显示的信息,但随着查询条件的复杂化,当出现SQL语句长度超过DBMS最大限制时,咱们就可以去撞墙了。
zhanshenyn
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security acl 实例
12-01
spring security acl 代码实例 spring security acl 代码实例spring security acl 代码实例spring security acl 代码实例spring security acl 代码实例spring security acl 代码实例
SpringBoot 如何使用 ACL 进行访问控制
u013749113的博客
06-23 1203
ACL(Access Control List)是一种常见的访问控制机制。ACL 可以控制用户对资源的访问权限。它是一种灵活、可扩展的访问控制机制,可以适应不同的应用场景。ACL 通常由两个部分组成:访问主体和资源。访问主体可以是用户、角色、组织等,资源可以是文件、数据库表、API 接口等。ACL 可以定义哪些访问主体有权访问哪些资源,并可以设置不同的访问权限,例如读取、修改、删除等。
spring-security--基础--5.1--ACL--介绍
zhou920786312的博客
09-18 185
ACL(访问控制列表):是附加到对象的权限列表ACL:指定在给定对象上授予哪些标识哪些操作是支持域对象安全性的Spring组件。可以为单个域对象上的特定用户/角色定义权限,而不是在典型的每个操作级别上全面定义权限。
第 23 章 Spring SecurityACL
weixin_34223655的博客
07-13 538
第23章Spring SecurityACL ACL即访问控制列表(Access Controller List),它是用来做细粒度权限控制所用的一种权限模型。对ACL最简单的描述就是两个业务员,每个人只能查看操作自己签的合同,而不能看到对方的合同信息。 下面我们会介绍Spring Security是如何实现ACL的。 23....
SpringSecurity应用 权限控制模型ACL(AccessControlList)
Qiao712的博客
03-30 1005
访问控制列表 Access Control List Spring Security ACL
Spring Security # ACLs
来啊 快活啊
09-08 616
参考spring-security-reference 域对象的安全(Domain Object Security) 第 23 章 Spring SecurityACL
SpringSecurity.zip
06-08
它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制...
spring-security-acl-neo4j:带有 Neo4j 图形数据库的 Spring Security Acl 支持库
06-24
spring-security-acl-neo4j 带有 Neo4j 图形数据库的 Spring Security Acl 支持库动机该项目背后的动机是通过消除使用传统 RDBMS 作为后端数据存储创建的瓶颈来提高 Spring Security ACL 的性能。 阅读这篇了解更多...
spring security acl
12-12
spring security实现了acl权限控制。因为文件大小问题去掉了lib。
Spring Security Auth/Acl 实践指南
互联网从业者/大数据架构师/全栈开发者
02-14 1005
Spring Security Auth/Acl 提供的功能十分强大,设计的也很精巧,天然具备和 SpringBoot 应用整合的优势;但是整个体系十分庞大,涉及的概念也非常多,刚开始接触的时候仅借助官方的示例并不能很好地上手,很容易遇到一些“坑”,希望本文的内容能够对大家有所帮助。
spring security3.0.4 的acl使用例子
11-22
spring security3.0.4 的acl使用例子,相关的说明在 http://blog.csdn.net/lhx1026/archive/2010/11/22/6027125.aspx
ACL、RBAC、spring Security和Shiro的比较】
斯基的朦胧
11-08 765
ACL、RBAC、spring Security和Shiro的比较一、ACL二、RBAC三、spring Security四、Shiro五、Shiro和Spring Security比较 一、ACL ACL: 访问控制列表( Access Control List) 以前盛行的一种权限设计,它的核心在于用户直接和权限挂钩 优点:简单易用,开发便捷 缺点:用户和权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系统权限设计, 直接给用户加权限 二、RBAC RBAC:基于角色的权限
Spring Security 如何细化权限粒度?
江南一点雨的专栏
09-16 3829
有小伙伴表示微人事(https://github.com/lenve/vhr)的权限粒度不够细。不过松哥想说的是,技术都是相通的,明白了 vhr 权限管理的原理,在此基础上就可以去细化权限管理粒度,细化过程和还是用的 vhr 用的技术,只不过设计层面重新规划而已。 当然今天我想说的并不是这个话题,主要是想和大家聊一聊 Spring Security 权限管理粒度细化的问题。因为这个问题会涉及到不同的权限管理模型,今天和小伙伴们聊一聊~ 1.权限管理模型 要想将细化权限粒度,我们不可避免会涉及到一些权限
SpringSecurity详解,实现自定义登录接口
朱大虾
10-28 2696
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存查询用户,需要跟实际的权限数据库关联。编写登录接口,在其调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类
spring securityACL
mail1239的专栏
01-07 1422
今天做了acl管理的例子 但是在mysql数据库创建消息的时候出现了异常Servlet.service() for servlet MessageServlet threw exceptioncom.mysql.jdbc.exceptions.MySQLSyntaxErrorException: PROCEDURE test.identity does not exist at com.my
springsecurity的认证鉴权,acl,oauth2.0
永无止境
09-02 517
主要就是一些拦截器链,@PreAuthorize,@PreFilter,@PostAuthorize和@PostFilter 认证AuthenticationManager 基于列表的ProviderManager实现,每个处理器都有机会处理验证成功或失败 AuthenticationProvider获取适配的处理器 鉴权AccessDecisionManager 基于投票的 AccessDecisionManager 实现,投票决策管理器AccessDecisionVoter 基本..
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
明平姚的博客
12-14 1101
SpringSecurity 自定义PermissionEvaluator进行数据权限校验和访问限制
spring安全框架系列springSecurity之我见》其一[认识springSecurity]
java开发指南博客 【转载】
02-11 155
使用一个新的框架之前,首先我们来认识一下springSecurity,毕竟框架这种东西有时靠不住,所以学到他的思想才是最重要的,很多人都知道这么用,具体为什么,没有人告诉我们,首先我们从最基本的看起,了解一些入门知识是有必要的: 1.4.1.1. Core -spring-security-core.jar 包含了核心认证和权限控制类和接口, 运程支持和基本供应 API。使用 Spri...
Spring SecurityAcl的支持
weixin_30532759的博客
01-08 239
Acl的支持 目录 1.1准备工作 1.2表功能介绍 1.2.1表acl_sid 1.2.2表acl_class 1.2.3表acl_object_identity 1.2.4表acl_entry 1.3Acl主要接口 1.4配置AclServi...
springsecurity acl
最新发布
11-01
Spring Security ACL支持基于对象的安全性,这意味着您可以为应用程序的每个对象定义不同的安全性规则。它还支持基于角色的安全性,这意味着您可以为不同的用户角色定义不同的安全性规则。Spring Security ACL可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值