Jetspeed基于jaas的权限机制
Jetspeed的权限有两种constraint和permission方式
其中Jetspeed的认证是基于jaas的loginModule实现的,所以这里说是基于jaas的权限机制
constraint和permission的区别
授权方式不一样
constraint是基于资源授权的:
优点:基于资源授权简单,选中一个页面或目录就可以授权
缺点:可授权的地方过于分散,因为页面,portlet是在不同的模块
permission是基于角色授权的
优点:在一个模块可统一对页面、portlet等资源统一授权
缺点:授权麻烦一点,先选中角色,再授权,没有基于资源授权简单,模型层和数据库是这么设计,但是前台展现还是按照资源授权
或许Jetspeed本觉得portal里面有不同资源,每个资源又有自己的管理模块 ,所以最终前台展现是按照资源来授权
constraint和permission原理
我目前的理解是,他们原理都一样
先找到一个资源以及它的父亲授予了哪些权限resourcePermission,然后检查当前用户有哪些权限userPermisson(即当前用户拥有的角色,所属群组等principal),最后检查这两个权限是否有交集,有就可访问,反之,则不可访问
对了,Jetspeed说它的权限模块式可插拔的,因为我已经看到spring的配置中可选择按constraint或者permission检查权限,有空多研究
constraint主要研究代码
SecurityAccessController.checkPortletAccess(PortletDefinition portlet, int mask){}
public boolean checkPortletAccess(PortletDefinition portlet, int mask)
{
if (portlet == null)
return false;
if (securityMode == SecurityAccessController.CONSTRAINTS)
{
String constraintRef = portlet.getJetspeedSecurityConstraint();
if (constraintRef == null)
{
constraintRef = ((PortletApplication)portlet.getApplication()).getJetspeedSecurityConstraint();
if (constraintRef == null)
{
return true; // allow access
}
}
String actions = JetspeedActions.getContainerActions(mask);
return pageManager.checkConstraint(constraintRef, actions);
}
else
{
try
{
AccessController.checkPermission((Permission)pf.newPermission(pf.PORTLET_PERMISSION,portlet.getUniqueName(), mask));
}
catch (AccessControlException ace)
{
return false;
}
return true;
}
}
permission主要研究代码
AccessController.checkPermission((Permission)pf.newPermission(pf.PORTLET_PERMISSION,portlet.getUniqueName(), mask));}
这个代码AccessController.checkPermission()是jaas的代码,看来permission机制使用了jaas来实现,调试代码,去吧
jetspeed中的安全架构完全遵照Jaas实现
详细设计很值得推敲,要加油罗:
http://portals.apache.org/jetspeed-2/devguide/guide-security.html
设计思想
Jetspeed的安全模块,建立在JAAS之上,实现了验证和授权两大模块。建议学习本模块前,需要结合JAAS的知识来理解。
(1) Jaas的验证流程
Jetspeed基于JAAS的验证流程,如流程图所以,Jetspeed的验证过程是标准的jaas验证,只不过Jetspeed实现了自己的loginModule:org.apache.jetspeed.security.impl.DefaultLoginModule
(2) Jetspeed基于JAAS的授权流程
Jetspeed的permission授权机制,本质上也使用了Jaas的授权机制,以页面渲染portlet为例子,JAAS权限检查
的具体步骤如下:
- 引擎调用PageAggregator.aggregateAndRender()渲染portlet
- 检查portlet权限SecurityAccessController.checkPortletAccess()
- 通过Jaas的机制判断portlet权限AccessController.checkPermission(Permission portletPermission)
- 调用jetspeed自定义策略从保护域中检查是否拥有权限RdbmsPolicy.implies(ProtectionDomain protectionDomain, Permission permission
- 从数据库获取当前用户拥有的所有权限,检查这些权限是否隐含该portlet的访问权限
- 如果返回true,渲染portlet,如果返回false,没有权限,不渲染portlet