Jetspeed基于jaas的权限机制
Jetspeed的权限有两种constraint和permission方式
其中Jetspeed的认证是基于jaas的loginModule实现的,所以这里说是基于jaas的权限机制
constraint和permission的区别
授权方式不一样
constraint是基于资源授权的:
优点:基于资源授权简单,选中一个页面或目录就可以授权
缺点:可授权的地方过于分散,因为页面,portlet是在不同的模块
permission是基于角色授权的
优点:在一个模块可统一对页面、portlet等资源统一授权
缺点:授权麻烦一点,先选中角色,再授权,没有基于资源授权简单,模型层和数据库是这么设计,但是前台展现还是按照资源授权
或许Jetspeed本觉得portal里面有不同资源,每个资源又有自己的管理模块 ,所以最终前台展现是按照资源来授权
constraint和permission原理
我目前的理解是,他们原理都一样
先找到一个资源以及它的父亲授予了哪些权限resourcePermission,然后检查当前用户有哪些权限userPermisson(即当前用户拥有的角色,所属群组等principal),最后检查这两个权限是否有交集,有就可访问,反之,则不可访问
对了,Jetspeed说它的权限模块式可插拔的,因为我已经看到spring的配置中可选择按constraint或者permission检查权限,有空多研究
constraint主要研究代码
SecurityAccessController.checkPortletAccess(PortletDefinition portlet, int mask){}
public boolean checkPortletAccess(PortletDefinition portlet, int mask) { if (portlet == null) return false; if (securityMode == SecurityAccessController.CONSTRAINTS) { String constraintRef = portlet.getJetspeedSecurityConstraint(); if (constraintRef == null) { constraintRef = ((PortletApplication)portlet.getApplication()).getJetspeedSecurityConstraint(); if (constraintRef == null) { return true; // allow access } } String actions = JetspeedActions.getContainerActions(mask); return pageManager.checkConstraint(constraintRef, actions); } else { try { AccessController.checkPermission((Permission)pf.newPermission(pf.PORTLET_PERMISSION,portlet.getUniqueName(), mask)); } catch (AccessControlException ace) { return false; } return true; } }
permission主要研究代码
AccessController.checkPermission((Permission)pf.newPermission(pf.PORTLET_PERMISSION,portlet.getUniqueName(), mask));}
这个代码AccessController.checkPermission()是jaas的代码,看来permission机制使用了jaas来实现,调试代码,去吧
jetspeed中的安全架构完全遵照Jaas实现
详细设计很值得推敲,要加油罗:
http://portals.apache.org/jetspeed-2/devguide/guide-security.html
设计思想
Jetspeed的安全模块,建立在JAAS之上,实现了验证和授权两大模块。建议学习本模块前,需要结合JAAS的知识来理解。
(1) Jaas的验证流程
Jetspeed基于JAAS的验证流程,如流程图所以,Jetspeed的验证过程是标准的jaas验证,只不过Jetspeed实现了自己的loginModule:org.apache.jetspeed.security.impl.DefaultLoginModule
(2) Jetspeed基于JAAS的授权流程
Jetspeed的permission授权机制,本质上也使用了Jaas的授权机制,以页面渲染portlet为例子,JAAS权限检查
的具体步骤如下:
- 引擎调用PageAggregator.aggregateAndRender()渲染portlet
- 检查portlet权限SecurityAccessController.checkPortletAccess()
- 通过Jaas的机制判断portlet权限AccessController.checkPermission(Permission portletPermission)
- 调用jetspeed自定义策略从保护域中检查是否拥有权限RdbmsPolicy.implies(ProtectionDomain protectionDomain, Permission permission
- 从数据库获取当前用户拥有的所有权限,检查这些权限是否隐含该portlet的访问权限
- 如果返回true,渲染portlet,如果返回false,没有权限,不渲染portlet