一尘不染

Spring Boot中的ACL安全性

spring-boot

我在通过Spring Boot应用程序中的Java配置设置ACL时遇到问题。我创建了一个小项目来重现这些问题。

我尝试了几种不同的方法。我遇到的第一个问题是EhCache,在我解决了这个问题之后(我以为是),我再也无法登录了,看来所有数据都消失了。

有4种具有不同配置的类:

ACLConfig1.class
ACLConfig2.class
ACLConfig3.class
ACLConfig4.class

@PreAuthorize@PostAuthorize之外,所有和注释均按预期工作hasPermission

控制器拥有4个端点:一个端点用于用户,一个端点用于Admin,一个公共端点和最后一个使我头疼的端点
@PostAuthorize("hasPermission(returnObject,'administration')")

我很确定DB中的插入是正确的。此类是四堂之一,我尝试过的最后一堂:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class ACLConfig4 {

@Autowired
DataSource dataSource;


@Bean
public EhCacheBasedAclCache aclCache() {
    return new EhCacheBasedAclCache(aclEhCacheFactoryBean().getObject(), permissionGrantingStrategy(), aclAuthorizationStrategy());
}

@Bean
public EhCacheFactoryBean aclEhCacheFactoryBean() {
    EhCacheFactoryBean ehCacheFactoryBean = new EhCacheFactoryBean();
    ehCacheFactoryBean.setCacheManager(aclCacheManager().getObject());
    ehCacheFactoryBean.setCacheName("aclCache");
    return ehCacheFactoryBean;
}

@Bean
public EhCacheManagerFactoryBean aclCacheManager() {
    return new EhCacheManagerFactoryBean();
}

@Bean
public DefaultPermissionGrantingStrategy permissionGrantingStrategy() {
    ConsoleAuditLogger consoleAuditLogger = new ConsoleAuditLogger();
    return new DefaultPermissionGrantingStrategy(consoleAuditLogger);
}

@Bean
public AclAuthorizationStrategy aclAuthorizationStrategy() {
    return new AclAuthorizationStrategyImpl(new SimpleGrantedAuthority("ROLE_ADMINISTRATOR"));
}

@Bean
public LookupStrategy lookupStrategy() {
    return new BasicLookupStrategy(dataSource, aclCache(), aclAuthorizationStrategy(), new ConsoleAuditLogger());
}

@Bean
public JdbcMutableAclService aclService() {
    JdbcMutableAclService service = new JdbcMutableAclService(dataSource, lookupStrategy(), aclCache());
    return service;
}

@Bean
public DefaultMethodSecurityExpressionHandler defaultMethodSecurityExpressionHandler() {
    return new DefaultMethodSecurityExpressionHandler();
}

@Bean
public MethodSecurityExpressionHandler createExpressionHandler() {
    DefaultMethodSecurityExpressionHandler expressionHandler = defaultMethodSecurityExpressionHandler();
    expressionHandler.setPermissionEvaluator(new AclPermissionEvaluator(aclService()));
    expressionHandler.setPermissionCacheOptimizer(new AclPermissionCacheOptimizer(aclService()));
    return expressionHandler;
}


}

我在这里想念什么?如果使用ACLConfig3.class或ACLConfig4.class,为什么没有数据。是否有任何示例说明如何在Spring
Boot中以编程方式配置它?


阅读 894

收藏
2020-05-30

共1个答案

一尘不染

找不到数据的原因有点棘手。MethodSecurityExpressionHandler在配置中定义bean后,数据库表中就没有数据。这是因为您的data.sql文件未执行。

在解释为什么data.sql不执行之前,我首先要指出您没有按预期使用该文件。

data.sql在初始化hibernate状态后由spring-
boot执行,并且通常仅包含DML语句。您data.sql包含DDL(模式)语句和DML(数据)语句。这是不理想的,因为您的某些DDL语句与hibernate的hibernate.hbm2ddl.auto行为发生冲突(请注意,在使用嵌入式时,spring-
boot使用“ create-drop”
DataSource)。您应该将DDL语句放入,schema.sql并将DML语句放入data.sql。手动定义所有表时,您应该禁用hibernate.hbm2ddl.auto(添加spring.jpa.hibernate.ddl- auto=noneapplciation.properties)。

话虽如此,让我们看一下为什么data.sql不执行。

的执行data.sql是通过触发的,通过ApplicationEvent触发的BeanPostProcessor。这BeanPostProcessorDataSourceInitializedPublisher)作为弹簧启动的hibernate/
JPA自动配置(见的一部分创建org.springframework.boot.autoconfigure.orm.jpa.HibernateJpaAutoConfiguration
org.springframework.boot.autoconfigure.orm.jpa.DataSourceInitializedPublisherorg.springframework.boot.autoconfigure.jdbc.DataSourceInitializer)。

通常,DataSourceInitializedPublisher在创建(嵌入式)之前DataSource创建,并且一切都会按预期进行,但是通过定义自定义MethodSecurityExpressionHandler,常规bean的创建顺序会改变。按照配置@EnableGlobalMethodSecurity,您将自动导入GlobalMethodSecurityConfiguration

与spring安全相关的bean是在早期创建的。由于您MethodSecurityExpressionHandler需要DataSourceACL内容,而与spring-
security相关的bean则需要您的custom
MethodSecurityExpressionHandler,因此DataSource它的创建要比平时更早;实际上,它创建得太早了,DataSourceInitializedPublisher还没有创建spring-
boot
。在DataSourceInitializedPublisher以后创建的,但因为它没有注意到的创建DataSource豆,它也不会触发的执行data.sql

长话短说:安全性配置会更改正常的Bean创建顺序,从而导致data.sql无法加载。

我猜想固定Bean的创建顺序就可以解决问题,但是由于我现在不怎么做(无需进一步实验),我提出了以下解决方案:手动定义您DataSource的数据并进行数据初始化。

@Configuration
public class DataSourceConfig {
    @Bean
    public EmbeddedDatabase dataSource() {
        return new EmbeddedDatabaseBuilder().setType(EmbeddedDatabaseType.H2)
                 //as your data.sql file contains both DDL & DML you might want to rename it (e.g. init.sql)
                .addScript("classpath:/data.sql")
                .build();
    }
}

由于data.sql文件包含应用程序所需的所有DDL,因此可以将其禁用hibernate.hbm2ddl.auto。添加
spring.jpa.hibernate.ddl-auto=noneapplciation.properties

定义自己的DataSource弹簧靴时,DataSourceAutoConfiguration通常会退出,但是如果您想确保也可以将其排除(可选)。

@SpringBootConfiguration
@EnableAutoConfiguration(exclude = DataSourceAutoConfiguration.class)
@ComponentScan
@EnableCaching
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}

这应该可以解决您的“无数据”问题。但是,要使所有功能按预期工作,您需要再进行2次修改。

首先,您应该只定义一个MethodSecurityExpressionHandlerbean。当前,您正在定义2个MethodSecurityExpressionHandlerbean。Spring-
security不知道要使用哪个安全性,而是(静静地)使用它自己的内部安全性MethodSecurityExpressionHandler。请参阅org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration#setMethodSecurityExpressionHandler

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MyACLConfig {

    //...
    @Bean
    public MethodSecurityExpressionHandler createExpressionHandler() {
        DefaultMethodSecurityExpressionHandler securityExpressionHandler = new DefaultMethodSecurityExpressionHandler();
        securityExpressionHandler.setPermissionEvaluator(new AclPermissionEvaluator(aclService()));
        securityExpressionHandler.setPermissionCacheOptimizer(new AclPermissionCacheOptimizer(aclService()));
        return securityExpressionHandler;
    }

}

您需要做的最后一件事是使getId()Car中的方法公开。

@Entity
public class Car {
    //...    
    public long getId() {
        return id;
    }
    //...
}

ObjectIdentityRetrievalStrategy当在ACL权限评估期间尝试确定对象的身份时,该标准将查找公共方法“ getId()”。

(请注意,我的回答基于ACLConfig4。)

2020-05-30