对于最新的稳定版本,请使用 Spring Security 6.5.3spring-doc.cadn.net.cn

域对象安全 (ACL)

本节介绍 Spring Security 如何通过访问控制列表 (ACL) 提供域对象安全性。spring-doc.cadn.net.cn

复杂的应用程序通常需要定义超出 Web 请求或方法调用级别的访问权限。 相反,安全决策需要包括谁(Authentication),其中 (MethodInvocation)和什么(SomeDomainObject). 换句话说,授权决策还需要考虑方法调用的实际域对象实例主题。spring-doc.cadn.net.cn

想象一下,您正在为宠物诊所设计一个应用程序。 基于 Spring 的应用程序有两大用户群:宠物诊所的工作人员和宠物诊所的客户。 员工应该有权访问所有数据,而您的客户应该只能看到他们自己的客户记录。 为了让它更有趣一点,您的客户可以让其他用户查看他们的客户记录,例如他们的“小狗学前班”导师或当地“小马俱乐部”的主席。 当您使用 Spring Security 作为基础时,您有几种可能的方法:spring-doc.cadn.net.cn

  • 编写您的业务方法以强制实施安全性。 您可以查阅Customer域对象实例来确定哪些用户有权访问。 通过使用SecurityContextHolder.getContext().getAuthentication(),您可以访问Authentication对象。spring-doc.cadn.net.cn

  • 写一个AccessDecisionVoter以强制执行GrantedAuthority[]实例存储在Authentication对象。 这意味着您的AuthenticationManager需要填充Authentication与自定义GrantedAuthority[]对象来表示每个Customer主体有权访问的域对象实例。spring-doc.cadn.net.cn

  • 写一个AccessDecisionVoter强制实施安全性并打开目标Customerdomain 对象。 这意味着您的选民需要访问一个 DAO,以使其检索Customer对象。 然后它可以访问Customer对象的已批准用户集合,并做出适当的决定。spring-doc.cadn.net.cn

这些方法中的每一种都是完全合法的。 但是,第一个将您的授权检查与您的业务代码相结合。 这样做的主要问题包括单元测试的难度增加,以及重用Customer授权逻辑。 获取GrantedAuthority[]实例Authentication对象也可以,但不会扩展到大量Customer对象。 如果用户可以访问 5,000Customer对象(在这种情况下不太可能,但想象一下,如果它是一个大型小马俱乐部的热门兽医!)消耗的内存量和构建Authentication对象是不可取的。 最后一种方法,打开Customer直接来自外部代码,可能是三者中最好的。 它实现了关注点的分离,并且不会滥用内存或 CPU 周期,但它仍然效率低下,因为AccessDecisionVoter最终的业务方法本身对负责检索Customer对象。 每个方法调用两次访问显然是不可取的。 此外,对于列出的每种方法,您都需要从头开始编写自己的访问控制列表 (ACL) 持久性和业务逻辑。spring-doc.cadn.net.cn

幸运的是,还有另一种选择,我们稍后会讨论。spring-doc.cadn.net.cn

关键概念

Spring Security 的 ACL 服务在spring-security-acl-xxx.jar. 您需要将此JAR添加到类路径中才能使用Spring Security的域对象实例安全功能。spring-doc.cadn.net.cn

Spring Security 的域对象实例安全功能以访问控制列表 (ACL) 的概念为中心。 系统中的每个域对象实例都有自己的 ACL,并且 ACL 记录了谁可以和谁不能使用该域对象的详细信息。 考虑到这一点,Spring Security 为您的应用程序提供了三个主要的 ACL 相关功能:spring-doc.cadn.net.cn

如第一个要点所示,Spring Security ACL 模块的主要功能之一是提供一种检索 ACL 的高性能方法。 此 ACL 存储库功能非常重要,因为系统中的每个域对象实例可能都有多个访问控制条目,并且每个 ACL 可能继承自树状结构中的其他 ACL(Spring Security 支持此功能,并且非常常用)。 Spring Security 的 ACL 功能经过精心设计,可提供 ACL 的高性能检索,以及可插拔缓存、死锁最小化数据库更新、独立于 ORM 框架(我们直接使用 JDBC)、适当的封装和透明的数据库更新。spring-doc.cadn.net.cn

鉴于数据库是 ACL 模块作的核心,我们需要探索实现中默认使用的四个主要表。 在典型的 Spring Security ACL 部署中,这些表按大小顺序显示,行数最多的表最后列出:spring-doc.cadn.net.cn

  • ACL_SID让我们唯一地标识系统中的任何主体或机构(“SID”代表“安全 IDENTITY”)。 唯一的列是 ID、SID 的文本表示形式,以及指示文本表示形式是引用主体名称还是GrantedAuthority. 因此,每个唯一的主体或GrantedAuthority. 在接收权限的上下文中使用时,SID 通常称为“收件人”。spring-doc.cadn.net.cn

  • ACL_CLASS让我们唯一标识系统中的任何域对象类。 唯一的列是 ID 和 Java 类名。 因此,我们希望为其存储 ACL 权限的每个唯一类都有一行。spring-doc.cadn.net.cn

  • ACL_OBJECT_IDENTITY存储系统中每个唯一域对象实例的信息。 列包括 ID、ACL_CLASS 表的外键、唯一标识符(以便我们知道为其提供信息的ACL_CLASS实例)、父级、ACL_SID表的外键(表示域对象实例的所有者)以及是否允许 ACL 条目继承自任何父 ACL。 对于存储 ACL 权限的每个域对象实例,我们都有一行。spring-doc.cadn.net.cn

  • 最后ACL_ENTRY存储分配给每个收件人的各个权限。 列包括ACL_OBJECT_IDENTITY、接收方(即ACL_SID的外键)、我们是否要进行审计,以及表示实际授予或拒绝权限的整数位掩码。 对于每个获得使用域对象权限的收件人,我们都有一行。spring-doc.cadn.net.cn

如上一段所述,ACL 系统使用整数位掩码。 但是,您无需了解位移位的细节即可使用 ACL 系统。 可以说我们有 32 位可以打开或关闭。 这些位中的每一个都代表一个权限。默认情况下,权限为读取(位 0)、写入(位 1)、创建(位 2)、删除(位 3)和管理(位 4)。 您可以实现自己的Permission实例,如果您希望使用其他权限,并且 ACL 框架的其余部分在不知道您的扩展的情况下运行。spring-doc.cadn.net.cn

您应该了解,系统中的域对象数量与我们选择使用整数位掩蔽的事实完全无关。 虽然您有 32 位可用于权限,但您可能有数十亿个域对象实例(这意味着ACL_OBJECT_IDENTITY中有数十亿行,并且可能是ACL_ENTRY)。 我们之所以提出这一点,是因为我们发现人们有时会错误地认为他们需要为每个潜在的域对象提供一点,但事实并非如此。spring-doc.cadn.net.cn

现在我们已经提供了 ACL 系统功能的基本概述,以及它在表结构级别的外观,我们需要探索关键接口:spring-doc.cadn.net.cn

  • Acl:每个域对象都有一个且只有一个Acl对象,它在内部保存AccessControlEntry对象,并知道Acl. Acl 不直接引用域对象,而是引用ObjectIdentity. 这Acl存储在ACL_OBJECT_IDENTITY桌子。spring-doc.cadn.net.cn

  • AccessControlEntry:一Acl可容纳多个AccessControlEntry对象,在框架中通常缩写为 ACE。 每个 ACE 引用Permission,SidAcl. ACE 也可以是授予或非授予的,并包含审核设置。 ACE 存储在ACL_ENTRY桌子。spring-doc.cadn.net.cn

  • Permission:权限表示特定的不可变位掩码,并提供方便的位掩码和输出信息功能。 上面介绍的基本权限(位 0 到 4)包含在BasePermission类。spring-doc.cadn.net.cn

  • Sid:ACL 模块需要引用主体和GrantedAuthority[]实例。 间接级别由Sid接口。(“SID”是“安全标识”的缩写。 常见类包括PrincipalSid(表示Authenticationobject) 和GrantedAuthoritySid. 安全身份信息存储在ACL_SID桌子。spring-doc.cadn.net.cn

  • ObjectIdentity:每个域对象在 ACL 模块内部由ObjectIdentity. 默认实现称为ObjectIdentityImpl.spring-doc.cadn.net.cn

  • AclService:检索Acl适用于给定的ObjectIdentity. 在包含的实现 (JdbcAclService),检索作将委托给LookupStrategy. 这LookupStrategy提供了一种高度优化的策略来检索 ACL 信息,使用批处理检索 (BasicLookupStrategy)并支持使用物化视图、分层查询和类似的以性能为中心的非 ANSI SQL 功能的自定义实现。spring-doc.cadn.net.cn

  • MutableAclService:让修改后的Acl被提出以进行持久性。 使用此接口是可选的。spring-doc.cadn.net.cn

请注意,我们的AclService和相关的数据库类都使用 ANSI SQL。 因此,这应该适用于所有主要数据库。 在撰写本文时,该系统已成功通过了 Hypersonic SQL、PostgreSQL、Microsoft SQL Server 和 Oracle 的测试。spring-doc.cadn.net.cn

Spring Security 附带了两个示例,用于演示 ACL 模块。 第一个是联系人示例,另一个是文档管理系统 (DMS) 示例。 我们建议看看这些例子。spring-doc.cadn.net.cn

开始

要开始使用 Spring Security 的 ACL 功能,您需要将 ACL 信息存储在某个地方。 这需要实例化DataSource在Spring。 这DataSource然后被注入到JdbcMutableAclServiceBasicLookupStrategy实例。 前者提供突变器功能,后者提供高性能的 ACL 检索能力。 有关示例配置,请参阅 Spring Security 附带的示例之一。 您还需要使用上一节中列出的四个特定于 ACL 的表填充数据库(有关相应的 SQL 语句,请参阅 ACL 示例)。spring-doc.cadn.net.cn

创建所需的架构并实例化后JdbcMutableAclService,您需要确保您的域模型支持与 Spring Security ACL 包的互作性。 希望ObjectIdentityImpl证明足够了,因为它提供了大量的使用方式。 大多数人的域对象都包含public Serializable getId()方法。 如果返回类型为long或兼容long(例如int),您可能会发现无需进一步考虑ObjectIdentity问题。 ACL 模块的许多部分都依赖于长标识符。 如果您不使用long(或int,byte,依此类推),您可能需要重新实现许多类。 我们不打算在 Spring Security 的 ACL 模块中支持非 long 标识符,因为 long 已经与所有数据库序列兼容,是最常见的标识符数据类型,并且长度足以适应所有常见的使用场景。spring-doc.cadn.net.cn

以下代码片段演示了如何创建Acl或修改现有的Acl:spring-doc.cadn.net.cn

// Prepare the information we'd like in our access control entry (ACE)
ObjectIdentity oi = new ObjectIdentityImpl(Foo.class, new Long(44));
Sid sid = new PrincipalSid("Samantha");
Permission p = BasePermission.ADMINISTRATION;

// Create or update the relevant ACL
MutableAcl acl = null;
try {
acl = (MutableAcl) aclService.readAclById(oi);
} catch (NotFoundException nfe) {
acl = aclService.createAcl(oi);
}

// Now grant some permissions via an access control entry (ACE)
acl.insertAce(acl.getEntries().length, p, sid, true);
aclService.updateAcl(acl);
val oi: ObjectIdentity = ObjectIdentityImpl(Foo::class.java, 44)
val sid: Sid = PrincipalSid("Samantha")
val p: Permission = BasePermission.ADMINISTRATION

// Create or update the relevant ACL
var acl: MutableAcl? = null
acl = try {
aclService.readAclById(oi) as MutableAcl
} catch (nfe: NotFoundException) {
aclService.createAcl(oi)
}

// Now grant some permissions via an access control entry (ACE)
acl!!.insertAce(acl.entries.size, p, sid, true)
aclService.updateAcl(acl)

在前面的示例中,我们检索与Foo标识符号为 44 的域对象。然后,我们添加一个 ACE,以便名为“Samantha”的主体可以“管理”该对象。代码片段相对不言自明,除了insertAce方法。 第一个参数insertAce方法确定插入新条目的 ACL 中的位置。在前面的示例中,我们将新 ACE 放在现有 ACE 的末尾。最后一个参数是一个布尔值,指示 ACE 是授予还是拒绝。大多数时候,它授予 (true). 但是,如果它拒绝 (false),权限实际上被阻止了。spring-doc.cadn.net.cn

Spring Security 不提供任何特殊的集成来自动创建、更新或删除 ACL,作为 DAO 或存储库作的一部分。相反,您需要为单个域对象编写类似于前面示例中所示的代码。您应该考虑在服务层上使用 AOP 来自动将 ACL 信息与服务层作集成。我们发现这种方法是有效的。spring-doc.cadn.net.cn

一旦您使用了此处描述的技术在数据库中存储了一些 ACL 信息,下一步就是实际将 ACL 信息用作授权决策逻辑的一部分。您在这里有许多选择。您可以编写自己的AccessDecisionVoterAfterInvocationProvider(分别)在方法调用之前或之后触发。此类类将使用AclService检索相关 ACL,然后调用Acl.isGranted(Permission[] permission, Sid[] sids, boolean administrativeMode)以决定是授予还是拒绝权限。或者,您可以使用我们的AclEntryVoter,AclEntryAfterInvocationProviderAclEntryAfterInvocationCollectionFilteringProvider类。 所有这些类都提供了一种基于声明性的方法来在运行时评估 ACL 信息,使您无需编写任何代码。spring-doc.cadn.net.cn

请参阅示例应用程序以了解如何使用这些类。spring-doc.cadn.net.cn