Как динамически решитьзначение атрибута доступа в Spring Security? - PullRequest
Новая
       53

Как динамически решитьзначение атрибута доступа в Spring Security?

24 голосов
/ 01 августа 2011

В Spring Security мы используем тег intercept-url для определения доступа для URL, как показано ниже: 

<intercept-url pattern="/**" access="ROLE_ADMIN" />
<intercept-url pattern="/student" access="ROLE_STUDENT" />

Это жестко закодировано в applicationContext-security.xml. Я хочу вместо этого прочитать значения доступа из таблицы базы данных. Я определил свой собственный UserDetailsService и прочитал роли для вошедшего в систему пользователя из базы данных. Как назначить эти роли шаблонам URL во время выполнения?

Ответы [ 6 ]

20 голосов
/ 01 августа 2011

Класс FilterInvocationSecurityMetadataSourceParser в Spring-security (попробуйте Ctrl / Cmd + Shift + T в STS с исходным кодом) анализирует теги intercept-url и создает экземпляры ExpressionBasedFilterInvocationSecurityMetadataSource, которые расширяют класс фильтрации по умолчаниюFreeSataSecataSecuritySec. *

Я создал собственный класс, который реализует FilterInvocationSecurityMetadataSource, OptionsFromDataBaseFilterInvocationSecurityMetadataSource . Я использовал DefaultFilterInvocationSecurityMetadataSource в качестве базы для использования urlMatcher, для реализации метода support () и чего-то в этом роде.

Затем необходимо реализовать следующие методы:

  • Коллекция getAttributes (объектный объект), где вы можете получить доступ к базе данных, выполняя поиск защищаемого «объекта» (обычно это URL-адрес для доступа), чтобы получить разрешенные атрибуты ConfigAttribute (обычно это ROLE)

  • булевы опоры (класс clazz)

  • Коллекция getAllConfigAttributes ()

Будьте осторожны с последним, потому что он вызывается при запуске и, возможно, не очень хорошо настроен в настоящее время (я имею в виду, что источники данных или контекст постоянства автоматически подключаются, в зависимости от того, что вы используете). Решение в веб-среде заключается в настройке contextConfigLocation в web.xml для загрузки applicationContext.xml перед applicationContext-security.xml

Последний шаг - настроить applicationContext-security.xml для загрузки этого компонента.

Для этого я использовал обычные bean-компоненты в этом файле вместо пространства имен безопасности: 

    <beans:bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy">
    <filter-chain-map path-type="ant">
        <filter-chain pattern="/images/*" filters="none" />
        <filter-chain pattern="/resources/**" filters="none" />
        <filter-chain pattern="/**" filters="
        securityContextPersistenceFilter,
        logoutFilter,
        basicAuthenticationFilter,
        exceptionTranslationFilter,
        filterSecurityInterceptor" 
    />
    </filter-chain-map>
</beans:bean>

Вы должны определить все связанные бины. Например: 

    <beans:bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
    <beans:property name="authenticationManager" ref="authenticationManager"></beans:property>
    <beans:property name="accessDecisionManager" ref="affirmativeBased"></beans:property>
    <beans:property name="securityMetadataSource" ref="optionsFromDataBaseFilterInvocationSecurityMetadataSource"></beans:property>
    <beans:property name="validateConfigAttributes" value="true"/></beans:bean>

Я знаю, что это не очень хорошо объясненный ответ, но это не так сложно, как кажется.

Просто используйте источник пружины в качестве основы, и вы получите то, что вы хотите.

Отладка с данными в вашей базе данных, вам очень поможет.

4 голосов
/ 15 января 2014

На самом деле, пружинная безопасность 3.2 не поощряет делать это в соответствии с http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/faq.html#faq-dynamic-url-metadata

но возможно (но не элегантно) использование элемента http в пространстве имен с пользовательским accessDecisionManager.

Конфиг должен быть: 

<http pattern="/login.action" security="none"/>
<http pattern="/media/**" security="none"/>

<http access-decision-manager-ref="accessDecisionManager" >
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.action"
                authentication-failure-url="/login?error=1"
                default-target-url="/console.action"/>
    <logout invalidate-session="true" delete-cookies="JSESIONID"/>
    <session-management session-fixation-protection="migrateSession">
        <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login.action"/>
    </session-management>

    <!-- NO ESTA FUNCIONANDO, los tokens no se ponen en el request!
    <csrf />
     -->

</http>
<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER" />
        </user-service>
    </authentication-provider>
</authentication-manager>

<beans:bean id="accessDecisionManager" class="openjsoft.core.services.security.auth.CustomAccessDecisionManager">
    <beans:property name="allowIfAllAbstainDecisions" value="false"/>
    <beans:property name="decisionVoters">
    <beans:list>
        <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>
    </beans:list>
    </beans:property>
</beans:bean>

CustomAccessDecisionManager должен быть ... 

public class CustomAccessDecisionManager extends AbstractAccessDecisionManager  {
...

public void decide(Authentication authentication, Object filter,
        Collection<ConfigAttribute> configAttributes)
        throws AccessDeniedException, InsufficientAuthenticationException {

  if ((filter == null) || !this.supports(filter.getClass())) {
        throw new IllegalArgumentException("Object must be a FilterInvocation");
    }

    String url = ((FilterInvocation) filter).getRequestUrl();
    String contexto = ((FilterInvocation) filter).getRequest().getContextPath();

    Collection<ConfigAttribute> roles = service.getConfigAttributesFromSecuredUris(contexto, url);



    int deny = 0;

    for (AccessDecisionVoter voter : getDecisionVoters()) {
        int result = voter.vote(authentication, filter, roles);

        if (logger.isDebugEnabled()) {
            logger.debug("Voter: " + voter + ", returned: " + result);
        }

        switch (result) {
        case AccessDecisionVoter.ACCESS_GRANTED:
            return;

        case AccessDecisionVoter.ACCESS_DENIED:

            deny++;

            break;

        default:
            break;
        }
    }

    if (deny > 0) {
        throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                "Access is denied"));
    }

    // To get this far, every AccessDecisionVoter abstained
    checkAllowIfAllAbstainDecisions();
}

...
}

Где getConfigAttributesFromSecuredUris извлекает БД формы ролей для определенного URL

2 голосов
/ 29 мая 2012

У меня возникла такая же проблема, в основном я хотел бы отделить список URL-адреса перехвата от другого раздела конфигурации Springsecurity, первый из которых относится к конфигурации приложения, а второй - к продукту (ядро, плагин).конфигурации.

В JIRA весны есть предложение , касающееся этой проблемы.

Я не хочу отказываться от использования пространства имен springsecurity, поэтому яЯ думал о некоторых возможных решениях, чтобы справиться с этим.

Чтобы динамически создать список URL-адреса перехвата, вам нужно внедрить объект securitymetadatasource в FilterSecurityInterceptor.Используя схему springsecurity, экземпляр класса FilterSecurityInterceptor создается классом HttpBuilder, и нет способа передать securitymetadatasource как свойство, определенное в файле конфигурации схемы, так же как и использовать обходной путь, который может быть:

  • Определите пользовательский фильтр, который будет выполняться перед FilterSecurityInterceptor, в этом фильтре, получая экземпляр FilterSecurityInterceptor (при условии, что определен уникальный раздел http) по контексту пружины, и вставьте туда экземпляр securitymetadatasource;
  • То же, что и вышено в HandlerInterceptor.

Что вы думаете?

1 голос
/ 07 августа 2015

Простое решение, которое работает для меня. 

<intercept-url pattern="/**/**" access="#{@customAuthenticationProvider.returnStringMethod}" />
<intercept-url pattern="/**" access="#{@customAuthenticationProvider.returnStringMethod}" />

customAuthenticationProvider - это bean-компонент 

<beans:bean id="customAuthenticationProvider"
    class="package.security.CustomAuthenticationProvider" />

в методе создания класса CustomAuthenticationProvider: 

public synchronized String getReturnStringMethod()
{
    //get data from database (call your method)

    if(condition){
        return "IS_AUTHENTICATED_ANONYMOUSLY";
    }
    return "ROLE_ADMIN,ROLE_USER";
}
1 голос
/ 13 июня 2012

Это решение, которое я применил для разделения списка записей-перехватчиков из другой конфигурации безопасности Spring. 

<security:custom-filter ref="parancoeFilterSecurityInterceptor"
        before="FILTER_SECURITY_INTERCEPTOR" />
........

<bean id="parancoeFilterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor" >  
    <property name="authenticationManager" ref="authenticationManager"/>
    <property name="accessDecisionManager" ref="accessDecisionManager"/>
    <property name="securityMetadataSource" ref="securityMetadataSource"/>
</bean>

Бин securityMetadataSource может быть помещен либо в тот же файл конфигурации, либов другом файле конфигурации.

<security:filter-security-metadata-source
    id="securityMetadataSource" use-expressions="true">
    <security:intercept-url pattern="/admin/**"
        access="hasRole('ROLE_ADMIN')" />
</security:filter-security-metadata-source>

Конечно, вы можете решить реализовать свой собственный bean-компонент securityMetadataSource, реализовав интерфейс FilterInvocationSecurityMetadataSource.Примерно так: 

<bean id="securityMetadataSource" class="mypackage.MyImplementationOfFilterInvocationSecurityMetadataSource" />

Надеюсь, это поможет.

0 голосов
/ 12 июля 2014

Вот как это можно сделать в Spring Security 3.2: 

@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public SecurityConfigDao securityConfigDao() {
        SecurityConfigDaoImpl impl = new SecurityConfigDaoImpl() ;
        return impl ;
    }



    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /* get a map of patterns and authorities */
        Map<String,String> viewPermissions = securityConfigDao().viewPermissions() ;

         ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry interceptUrlRegistry = http
        .authorizeRequests().antMatchers("/publicAccess/**")
        .permitAll(); 

        for (Map.Entry<String, String> entry: viewPermissions.entrySet()) {
            interceptUrlRegistry.antMatchers(entry.getKey()).hasAuthority(entry.getValue());
        }

        interceptUrlRegistry.anyRequest().authenticated()
        .and()
        ...
        /* rest of the configuration */
    }
}
...