没有 Spring Security ACL 的 Spring 对象级权限

Posted

技术标签:

【中文标题】没有 Spring Security ACL 的 Spring 对象级权限【英文标题】:Spring object level permissions without spring security ACL 【发布时间】:2013-09-30 15:19:26 【问题描述】:

我想在我的项目中实现对象级权限。更具体地说,会有一个用户、一个学校和一个学生类。每个学生将属于一所学校。系统的每个用户也将属于一所学校。因此,系统的每个用户只能访问属于其学校的学生。

我在很多地方读到过,这可以在 Spring Security ACL 的帮助下完成。这需要在我的数据库中创建许多 ACL_ 表(如果我没记错的话是 4 个)并且对我的每个对象都具有特定的权限!所以我的 ACL_ENTRY 中的行数与对象数一样多!

这对我的应用程序来说太过分了,因为对象已经知道谁可以访问它,谁不能访问它 - 为什么我还要额外的 acl_entry?我想要的是检查要更新的对象是否属于特定用户并返回是否允许。选择也是如此——只返回属于特定用户的对象。

据我所知,这必须在我的数据访问层中完成——如果我在其他任何地方这样做,我就会遇到查询问题(因为我需要一一检查所有对象以查看它们是否属于特定用户)。对于我的数据访问,我使用spring-data,其接口扩展了 JpaRepository。我可以添加自己的保存/选择方法吗?如何从这些方法中获取 User 对象?有没有人为了帮助我开始做类似的事情?

【问题讨论】:

【参考方案1】:

试一试。您可以通过在应用程序中实现 Spring AOP 来实现对象级别的安全性。根据您的要求,我将在此处提供一个示例。

//在用户模型访问前执行

@Before("within(org.school.model.*)")
 public void doCheckSchoolUsers() throws <any custom exception or Exception class>
 
//Write your code here to get the current user and validate the user based on   your business requirements. 
if(the user is not authorized)
        throw new Exception<or your custome exception> //You can catch this        exception any of your filter and redirect accordingly. 

您可以通过以下两种方式验证您的学生对象。

    如果您的方法返回 Student 对象或与一些对象集合一起返回,您可以捕获该方法返回的所有对象。

    @AfterReturning(pointcut = "execution(* 
    com.mkyong.customer.bo.CustomerBo.addCustomerReturnValue(..))",returning= "result")
     public void logAfterReturning(JoinPoint joinPoint, Object result) 
     
    System.out.println("logAfterReturning() is running!");
    System.out.println("hijacked : " + joinPoint.getSignature().getName());
    System.out.println("Method returned value is : " + result);
    System.out.println("******");
    

    在 aop 方法中获取参数。

    public String log(ProceedingJoinPoint jp) throws Throwable 
    
          System.out.println("Spring AOP: Around advice");
           Object[] args=jp.getArgs();
          if(args.length>0)
            System.out.print("Arguments passed: ");
            for (int i = 0; i < args.length; i++) 
              System.out.print("Arg"+(i+1)+":"+args[i]);
              args[i]=":Spring AOP removed the argument";
            
         
         Object result=jp.proceed(args);
         return result.toString()+" :Result is also modified";
    
    

更多详情:http://docs.spring.io/spring/docs/2.5.5/reference/aop.html

【讨论】:

看起来不错,但是如何在选择时过滤我的结果?另外,如何在 AOP 方法 inside 中找到 Student 对象?我对 AOP 不是很熟悉 :( 数据访问过滤呢? 我没有收到您关于“数据访问过滤”的问题 如何过滤数据层的结果?当我想为用户检索学生时,我只想返回属于用户学校的学生。但是出于性能原因,这需要在数据库级别完成,否则 所有 学生将从数据库中返回(然后将在更高级别选择正确的学生)。

以上是关于没有 Spring Security ACL 的 Spring 对象级权限的主要内容,如果未能解决你的问题,请参考以下文章

Spring Security Acl 对象

Spring Security 的 ACL 配置问题

非所有者时 Spring Security 更新 acl

Spring Security - ACL readAclsById 不按 SID 过滤

Spring Security ACL 层次结构

使用 Spring Security ACL