对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cadn.net.cn

域对象安全性 (ACL)

本节描述了 Spring Security 如何通过访问控制列表(ACL)提供域对象安全性。spring-doc.cadn.net.cn

复杂的应用程序通常需要定义超出 Web 请求或方法调用级别的访问权限。 相反,安全决策需要包括谁 (Authentication),其中 (MethodInvocation) 和什么 (SomeDomainObject). 换句话说,授权决策还需要考虑方法调用的实际域对象实例主题。spring-doc.cadn.net.cn

假设您正在为宠物诊所设计应用程序。 基于 Spring 的应用程序主要有两组用户:宠物诊所的员工和宠物诊所的客户。 员工应该可以访问所有数据,而您的客户应该只能看到他们自己的客户记录。 为了更有趣,您的客户可以让其他用户查看他们的客户记录,例如他们的 “puppy preschool” 导师或他们当地的 “Pony Club” 的主席。 当您使用 Spring Security 作为基础时,有几种可能的方法:spring-doc.cadn.net.cn

  • 编写您的业务方法来实施安全性。 您可以查阅Customerdomain 对象实例来确定哪些用户具有访问权限。 通过使用SecurityContextHolder.getContext().getAuthentication()中,您可以访问Authentication对象。spring-doc.cadn.net.cn

  • 编写一个AccessDecisionVoter要从GrantedAuthority[]实例存储在Authentication对象。 这意味着您的AuthenticationManager需要填充Authentication带自定义GrantedAuthority[]objects 来表示每个Customer委托人有权访问的域对象实例。spring-doc.cadn.net.cn

  • 编写一个AccessDecisionVoter强制执行安全性并打开目标Customerdomain 对象。 这意味着您的选民需要访问 DAO,以便它检索Customer对象。 然后,它可以访问CustomerObject 的已批准用户集合,并做出适当的决策。spring-doc.cadn.net.cn

这些方法中的每一种都是完全合法的。 但是,第一个选项将您的授权检查与您的业务代码耦合在一起。 这样做的主要问题包括单元测试的难度增加,以及重用Customer授权逻辑。 获取GrantedAuthority[]实例Authenticationobject 也可以,但不会缩放到大量Customer对象。 如果用户可以访问 5,000Customer对象(在本例中不太可能,但想象一下,如果它是大型 Pony Club 的流行兽医!)消耗的内存量和构建Authenticationobject 将是不可取的。 final 方法,打开Customer直接从外部代码,可能是三者中最好的。 它实现了关注点分离,并且不会滥用内存或 CPU 周期,但它仍然效率低下,因为AccessDecisionVoter最终的业务方法本身对负责检索Customer对象。 每个方法调用两次访问显然是不可取的。 此外,在列出每种方法后,您需要从头开始编写自己的访问控制列表 (ACL) 持久性和业务逻辑。spring-doc.cadn.net.cn

幸运的是,还有另一种选择,我们将在后面讨论。spring-doc.cadn.net.cn

关键概念

Spring Security 的 ACL 服务在spring-security-acl-xxx.jar. 您需要将此 JAR 添加到 Classpath 中,以使用 Spring Security 的域对象实例安全功能。spring-doc.cadn.net.cn

Spring Security 的域对象实例安全功能以访问控制列表 (ACL) 的概念为中心。 系统中的每个域对象实例都有自己的 ACL,ACL 记录了谁可以使用和不能使用该域对象的详细信息。 考虑到这一点,Spring Security 为您的应用程序提供了三个主要的 ACL 相关功能:spring-doc.cadn.net.cn

  • 一种有效检索所有域对象的 ACL 条目(并修改这些 ACL)的方法spring-doc.cadn.net.cn

  • 一种确保在调用方法之前允许给定主体使用您的对象的方法spring-doc.cadn.net.cn

  • 一种确保在调用方法后允许给定主体处理您的对象(或它们返回的内容)的方法spring-doc.cadn.net.cn

如第一个要点所示,Spring Security ACL 模块的主要功能之一是提供一种高性能的检索 ACL 的方法。 这个 ACL 存储库功能非常重要,因为系统中的每个域对象实例可能有几个访问控制条目,并且每个 ACL 都可能以树状结构从其他 ACL 继承(Spring Security 支持这一点,并且非常常用)。 Spring Security 的 ACL 功能经过精心设计,可提供高性能的 ACL 检索,以及可插拔缓存、最小化死锁的数据库更新、独立于 ORM 框架(我们直接使用 JDBC)、正确封装和透明数据库更新。spring-doc.cadn.net.cn

鉴于数据库是 ACL 模块作的核心,我们需要探索实现中默认使用的四个主要表。 在典型的 Spring Security ACL 部署中,这些表按大小顺序显示,行数最多的表列在最后:spring-doc.cadn.net.cn

  • ACL_SID让我们唯一标识系统中的任何委托人或颁发机构(“SID”代表“Security IDentity”)。 唯一的列是 ID、SID 的文本表示形式和一个标志,用于指示文本表示形式是引用主体名称还是GrantedAuthority. 因此,每个唯一主体或都有一行GrantedAuthority. 在接收权限的上下文中使用时,SID 通常称为“接收者”。spring-doc.cadn.net.cn

  • ACL_CLASS让我们唯一地标识系统中的任何 Domain 对象类。 唯一的列是 ID 和 Java 类名。 因此,我们希望为其存储 ACL 权限的每个唯一类都有一行。spring-doc.cadn.net.cn

  • ACL_OBJECT_IDENTITY在系统中存储每个唯一 Domain Object 实例的信息。 列包括 ID、ACL_CLASS表的外键、唯一标识符(以便我们知道为其提供信息的ACL_CLASS实例)、父级、ACL_SID表的外键(表示域对象实例的所有者)以及我们是否允许 ACL 条目从任何父 ACL 继承。 我们为其存储 ACL 权限的每个域对象实例都有一行。spring-doc.cadn.net.cn

  • 最后ACL_ENTRY存储分配给每个收件人的单个权限。 列包括ACL_OBJECT_IDENTITY、接收者(即要ACL_SID的外键),无论我们是否要审计,以及表示被授予或拒绝的实际权限的整数位掩码。 对于每个获得使用域对象权限的收件人,我们都有一行。spring-doc.cadn.net.cn

如上一段所述,ACL 系统使用整数位掩码。 但是,使用 ACL 系统时,您无需了解移位的细节。 可以说我们有 32 位可以打开或关闭。 这些位中的每一个都代表一个权限。默认情况下,权限为读取(位 0)、写入(位 1)、创建(位 2)、删除(位 3)和管理(位 4)。 您可以实施自己的Permission实例,并且 ACL 框架的其余部分在不知道您的扩展的情况下运行。spring-doc.cadn.net.cn

您应该了解,系统中域对象的数量与我们选择使用整数位掩码的事实完全无关。 虽然您有 32 位可用于权限,但您可能有数十亿个域对象实例(这意味着 ACL_OBJECT_IDENTITY 中有数十亿行,可能有 ACL_ENTRY 行)。 我们提出这一点是因为我们发现人们有时会错误地认为他们需要为每个潜在的域对象提供一点,但事实并非如此。spring-doc.cadn.net.cn

现在我们已经提供了 ACL 系统功能的基本概述,以及它在表结构级别的外观,我们需要探索关键接口:spring-doc.cadn.net.cn

  • Acl:每个域对象都有且只有一个Aclobject,它在内部保存了AccessControlEntry对象,并知道Acl. Acl 不直接引用域对象,而是引用ObjectIdentity. 这Acl存储在ACL_OBJECT_IDENTITY桌子。spring-doc.cadn.net.cn

  • AccessControlEntry:一Acl持有多个AccessControlEntry对象,这些对象在框架中通常缩写为 ACE。 每个 ACE 都引用一个特定的 TuplesPermission,SidAcl. ACE 也可以是授予或不授予的,并包含审核设置。 ACE 存储在ACL_ENTRY桌子。spring-doc.cadn.net.cn

  • Permission:权限表示特定的不可变位掩码,并为位掩码和输出信息提供便利功能。 上面显示的基本权限(位 0 到 4)包含在BasePermission类。spring-doc.cadn.net.cn

  • Sid:ACL 模块需要引用 principals 和GrantedAuthority[]实例。 间接级别由Sid接口。(“SID”是“Security IDentity”的缩写。 常见类包括PrincipalSid(要在Authenticationobject) 和GrantedAuthoritySid. 安全身份信息存储在ACL_SID桌子。spring-doc.cadn.net.cn

  • ObjectIdentity:每个域对象在 ACL 模块内部由ObjectIdentity. 默认实现称为ObjectIdentityImpl.spring-doc.cadn.net.cn

  • AclService:检索Acl适用于给定的ObjectIdentity. 在包含的实现 (JdbcAclService),检索作将委托给LookupStrategy. 这LookupStrategy提供高度优化的策略来检索 ACL 信息,使用批量检索 (BasicLookupStrategy),并支持使用具体化视图、分层查询和类似的以性能为中心的非 ANSI SQL 功能的自定义实现。spring-doc.cadn.net.cn

  • MutableAclService:允许修改后的Acl呈现以实现持久性。 使用此接口是可选的。spring-doc.cadn.net.cn

请注意,我们的AclService和相关数据库类都使用 ANSI SQL。 因此,这应该适用于所有主要数据库。 在撰写本文时,该系统已成功通过 Hypersonic SQL、PostgreSQL、Microsoft SQL Server 和 Oracle 的测试。spring-doc.cadn.net.cn

Spring Security 附带了两个示例,用于演示 ACL 模块。 第一个是联系人示例,另一个是文档管理系统 (DMS) 示例。 我们建议查看这些示例。spring-doc.cadn.net.cn

开始

要开始使用 Spring Security 的 ACL 功能,您需要将 ACL 信息存储在某处。 这需要实例化DataSource在Spring。 这DataSource然后注入到JdbcMutableAclService以及BasicLookupStrategy实例。 前者提供 mutator 功能,后者提供高性能 ACL 检索功能。 有关示例配置,请参阅 Spring Security 附带的示例之一。 您还需要使用上一节中列出的四个特定于 ACL 的表填充数据库(有关相应的 SQL 语句,请参阅 ACL 示例)。spring-doc.cadn.net.cn

创建所需的 schema 并实例化JdbcMutableAclService,你需要确保你的域模型支持与 Spring Security ACL 包的互作性。 希望ObjectIdentityImpl证明就足够了,因为它提供了大量的使用方式。 大多数人的域对象都包含public Serializable getId()方法。 如果返回类型为long或兼容long(例如int),您可能会发现您无需进一步考虑ObjectIdentity问题。 ACL 模块的许多部分都依赖于长标识符。 如果您不使用long(或int,byte等),则可能需要重新实现许多类。 我们不打算在 Spring Security 的 ACL 模块中支持非长标识符,因为 long 已经与所有数据库序列兼容,是最常见的标识符数据类型,并且具有足够的长度来适应所有常见的使用场景。spring-doc.cadn.net.cn

以下代码片段显示了如何创建Acl或修改现有的Acl:spring-doc.cadn.net.cn

// Prepare the information we'd like in our access control entry (ACE)
ObjectIdentity oi = new ObjectIdentityImpl(Foo.class, new Long(44));
Sid sid = new PrincipalSid("Samantha");
Permission p = BasePermission.ADMINISTRATION;

// Create or update the relevant ACL
MutableAcl acl = null;
try {
acl = (MutableAcl) aclService.readAclById(oi);
} catch (NotFoundException nfe) {
acl = aclService.createAcl(oi);
}

// Now grant some permissions via an access control entry (ACE)
acl.insertAce(acl.getEntries().length, p, sid, true);
aclService.updateAcl(acl);
val oi: ObjectIdentity = ObjectIdentityImpl(Foo::class.java, 44)
val sid: Sid = PrincipalSid("Samantha")
val p: Permission = BasePermission.ADMINISTRATION

// Create or update the relevant ACL
var acl: MutableAcl? = null
acl = try {
aclService.readAclById(oi) as MutableAcl
} catch (nfe: NotFoundException) {
aclService.createAcl(oi)
}

// Now grant some permissions via an access control entry (ACE)
acl!!.insertAce(acl.entries.size, p, sid, true)
aclService.updateAcl(acl)

在前面的示例中,我们检索与Foo标识符编号为 44 的 domain 对象。 然后,我们添加一个 ACE,以便名为 “Samantha” 的主体可以 “管理” 该对象。 代码片段相对一目了然,除了insertAce方法。 第一个参数insertAcemethod 确定 Acl 中插入新条目的位置。 在前面的示例中,我们将新 ACE 放在现有 ACE 的末尾。 最后一个参数是一个布尔值,指示 ACE 是授予还是拒绝。 大多数情况下,它会授予 (true).但是,如果它否认 (false),则权限实际上被阻止了。spring-doc.cadn.net.cn

Spring Security 不提供任何特殊的集成来自动创建、更新或删除 ACL 作为 DAO 或存储库作的一部分。 相反,您需要为各个域对象编写类似于前面示例中所示的代码。 您应该考虑在服务层上使用 AOP,以自动将 ACL 信息与服务层作集成。 我们发现这种方法是有效的。spring-doc.cadn.net.cn

使用此处描述的技术在数据库中存储一些 ACL 信息后,下一步是实际使用 ACL 信息作为授权决策逻辑的一部分。 您在这里有多种选择。 你可以自己写AccessDecisionVoterAfterInvocationProvider分别在方法调用之前或之后触发。 此类类将使用AclService检索相关的 ACL,然后调用Acl.isGranted(Permission[] permission, Sid[] sids, boolean administrativeMode)以决定是授予还是拒绝权限。 或者,您可以使用我们的AclEntryVoter,AclEntryAfterInvocationProviderAclEntryAfterInvocationCollectionFilteringProvider类。 所有这些类都提供了一种基于声明的方法,用于在运行时评估 ACL 信息,从而无需编写任何代码。spring-doc.cadn.net.cn

请参阅示例应用程序以了解如何使用这些类。spring-doc.cadn.net.cn