Spring SecurityのCollection <Object>に対するhasPermission

Question

メソッドレベルのセキュリティで保護された作業中のアプリケーションがあります。

RestController：

_@PreAuthorize("hasPermission(#product, 'WRITE')") @RequestMapping(value = "/save", method = RequestMethod.POST) public Product save(@RequestBody Product product) { return productService.save(product); } _

PermissionEvaluator：

_public class SecurityPermissionEvaluator implements PermissionEvaluator { private Logger log = LoggerFactory.getLogger(SecurityPermissionEvaluator.class); private final PermissionService permissionService; public SecurityPermissionEvaluator(PermissionService permissionService) { this.permissionService = permissionService; } @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); return permissionService.isAuthorized(userDetails.getUser(), targetDomainObject, permission.toString()); } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { // almost the same implementation } } _

そして、オブジェクトのコレクションを保存するAPIを実装するまで、すべてが正常に機能します。このサービスのロジックは、既存のエンティティを更新したり、新しいエンティティを作成したりすることです。

_@PreAuthorize("hasPermission(#products, 'WRITE')") @RequestMapping(value = "/saveCollection", method = RequestMethod.POST) public Collection<Product> save(@RequestBody Collection<Product> products) { return productService.save(products); } _

この後、私の許可サービスはコレクションオブジェクトを処理し、次のようになります。

PemissionService：

_public class PermissionService { public boolean isAuthorized(User user, Object targetDomainObject, String permission) { if (targetDomainObject instanceof TopAppEntity) { if (((TopAppEntity) targetDomainObject).getId() == null) { // check authorities and give response } else { // check ACL and give response } } else if(targetDomainObject instanceof Collection) { boolean isAuthorized = false; Collection targetDomainObjects = (Collection) targetDomainObject; for (Object targetObject : targetDomainObjects) { isAuthorized = isAuthorized(user, targetObject, permission); if (!isAuthorized) break; } return isAuthorized; } } } _

私の質問は：

@PreAuthorize("hasPermission(#object, '...')")よりエレガントな方法を使用してコレクションをどのように処理できますか？コレクションを処理するためのSpring Securityの実装はありますか？少なくとも、PemissionServiceを処理するためにCollectionsをどのように最適化できますか？

J-Alex · Accepted Answer

いくつかの回避策があります。

1。最初の方法は、自分のMethodSecurityExpressionHandlerおよびMethodSecurityExpressionRootを使用することです。

CustomMethodSecurityExpressionRootを作成し、Collection処理の新しい式となるメソッドを定義します。 SecurityExpressionRootを拡張して、デフォルトの式を含めます。

public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations { private final PermissionEvaluator permissionEvaluator; private final Authentication authentication; private Object filterObject; private Object returnObject; private Object target; public CustomMethodSecurityExpressionRoot(Authentication authentication, PermissionEvaluator permissionEvaluator) { super(authentication); this.authentication = authentication; this.permissionEvaluator = permissionEvaluator; super.setPermissionEvaluator(permissionEvaluator); } public boolean hasAccessToCollection(Collection<Object> collection, String permission) { for (Object object : collection) { if (!permissionEvaluator.hasPermission(authentication, object, permission)) return false; } return true; } @Override public void setFilterObject(Object filterObject) { this.filterObject = filterObject; } @Override public Object getFilterObject() { return filterObject; } @Override public void setReturnObject(Object returnObject) { this.returnObject = returnObject; } @Override public Object getReturnObject() { return returnObject; } @Override public Object getThis() { return target; } }

カスタム式ハンドラーを作成し、CustomMethodSecurityExpressionRootを挿入します。

public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler { private final PermissionEvaluator permissionEvaluator; public CustomMethodSecurityExpressionHandler(PermissionEvaluator permissionEvaluator) { this.permissionEvaluator = permissionEvaluator; super.setPermissionEvaluator(permissionEvaluator); } @Override protected MethodSecurityExpressionOperations createSecurityExpressionRoot( Authentication authentication, MethodInvocation invocation) { CustomMethodSecurityExpressionRoot root = new CustomMethodSecurityExpressionRoot(authentication, permissionEvaluator); root.setTrustResolver(new AuthenticationTrustResolverImpl()); root.setRoleHierarchy(getRoleHierarchy()); return root; } }

問題のSecurityPermissionEvaluatorも挿入したので、カスタム式とデフォルト式の単一のエントリポイントになります。別のオプションとして、PermissionServiceを直接挿入して使用することもできます。

メソッドレベルのセキュリティの構成：

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Autowired private PermissionService permissionService; @Override protected MethodSecurityExpressionHandler createExpressionHandler() { PermissionEvaluator permissionEvaluator = new SecurityPermissionEvaluator(permissionService); return new CustomMethodSecurityExpressionHandler(permissionEvaluator); } }

これで、RestControllerで新しい式を使用できます。

@PreAuthorize("hasAccessToCollection(#products, 'WRITE')") @RequestMapping(value = "/saveCollection", method = RequestMethod.POST) public Collection<Product> save(@RequestBody Collection<Product> products) { return productService.save(products); }

結果として、このロジックをカスタム式に取り出したため、PermissionServiceでコレクションを処理するパーツを省略できました。

2。2番目の回避策は、SpELを使用してメソッドを直接呼び出すことです。

今、Spring BeanとしてPermissionEvaluatorを使用しています（ここでは任意のサービスを使用できますが、もう一度単一のエントリポイントを使用することを好みます）。

@Component public class SecurityPermissionEvaluator implements PermissionEvaluator { @Autowired private PermissionService permissionService; @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { if (!(targetDomainObject instanceof TopAppEntity)) throw new IllegalArgumentException(); CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); return permissionService.isAuthorized(userDetails.getUser(), targetDomainObject, permission.toString()); } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); try { return permissionService.isAuthorized(userDetails.getUser(), targetId, Class.forName(targetType), String.valueOf(permission)); } catch (ClassNotFoundException e) { throw new IllegalArgumentException("No class found " + targetType); } } public boolean hasPermission(Authentication authentication, Collection<Object> targetDomainObjects, Object permission) { for (Object targetDomainObject : targetDomainObjects) { if (!hasPermission(authentication, targetDomainObject, permission)) return false; } return true; } }

メソッドセキュリティの構成：

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Autowired private PermissionEvaluator permissionEvaluator; @Autowired private ApplicationContext applicationContext; @Override protected MethodSecurityExpressionHandler createExpressionHandler() { DefaultMethodSecurityExpressionHandler expressionHandler = new DefaultMethodSecurityExpressionHandler(); expressionHandler.setPermissionEvaluator(permissionEvaluator); // Pay attention here, or Spring will not be able to resolve bean expressionHandler.setApplicationContext(applicationContext); return expressionHandler; } }

式でのサービスの使用：

@PreAuthorize("@securityPermissionEvaluator.hasPermission(authentication, #products, 'WRITE')") @RequestMapping(value = "/saveCollection", method = RequestMethod.POST) public Collection<Product> save(@RequestBody Collection<Product> products) { return productService.save(products); }

他の名前が指定されていない場合、Spring Beanはデフォルトでクラス名で作成されます。

概要：カスタムサービスを使用して直接呼び出すか式として登録することに基づく両方のアプローチで、権限チェックサービスに送信される前にコレクションのロジックを処理できるため、その一部を省略できます。

@Service public class PermissionService { public boolean isAuthorized(User user, TopAppEntity domainEntity, String permission) { // removed instanceof checks and can operate on domainEntity directly if (domainEntity.getId() == null) { // check authorities and give response } else { // check ACL and give response } } }

hi.nitish · Answer

はい、スマートな方法があります。私がやったことをお話しします。

@Component("MySecurityPermissionEvaluator ") @Scope(value = "session") public class PermissionService { @Autowired private PermissionEvaluator permissionEvaluator; public boolean myPermission(Object obj, String permission) { boolean isAuthorized = false; Authentication a = SecurityContextHolder.getContext() .getAuthentication(); if (null == obj) { return isAuthorized; } if (a.getAuthorities().size() == 0) { logger.error("For this authenticated object, no authorities could be found !"); return isAuthorized; } else { logger.error("Authorities found " + a.getAuthorities()); } try { isAuthorized = myPermissionEval .hasPermission(a, obj, permission); } catch (Exception e) { logger.error("exception while analysisng permissions"); } return isAuthorized; }

ハードコードされた権限を使用しないでください。代わりにこの方法を使用してください。

import org.springframework.security.acls.domain.DefaultPermissionFactory; public class MyPermissionFactory extends DefaultPermissionFactory { public MyPermissionFactory() { registerPublicPermissions(MyPermission.class); } }

カスタム権限を作成するには、

import org.springframework.security.acls.domain.BasePermission; public class MyPermission extends BasePermission { //use this class for creating custom permissions private static Map<String, Integer> customPerMap = new HashMap<String, Integer>(); static { customPerMap.put("READ", 1); customPerMap.put("WRITE", 2); customPerMap.put("DELETE", 4); customPerMap.put("PUT", 8); } /** *Use the function while saving/ getting permission code **/ public static Integer getCode(String permName) { return customPerMap.get(permName.toUpperCase()); }

管理ユーザーまたはロール階層に基づいてURLを認証する必要がある場合は、承認ではなくSpring認証でタグを使用します。

残りは、正しく使用しています。@ PreAuthorizeと@PreFilterはどちらも正しく、要件に従って使用されています。

benkuly · Answer

_@PreFilter_注釈を使用できます。

したがって、@PreFilter("hasPermission(filterTarget, '...')")は、コレクションの各要素に対してPermissionServiceを呼び出します。

_public class PermissionService() { public boolean isAuthorized(User user, Object targetDomainObject, String permission) { if (targetDomainObject instanceof TopAppEntity) { if (((TopAppEntity) targetDomainObject).getId() == null) { // check authorities and give response } else { // check ACL and give response } } } } _

注：これにより、コントローラーメソッドの呼び出しが妨げられることはありません。空のコレクションのみを取得します。