如何使用休眠过滤器或其他方式在 spring 数据 jpa 中实现行级安全性?
how to implement row level security in spring data jpa using hibernate filter or other ways?
信息软件中的一个非常重要的问题是存在具有不同职责和访问级别的不同角色的用户。例如,考虑具有如下结构(层次结构)的组织:
[Organization Role ] [Organization ID]
CEO org01
Financial Assistant org0101
personnel 1
Software Assistant org0102
personnel 2
Commercial Assistant org0103
personnel 3
想象一下,这个组织有一个管理人员信息的系统。本系统人员信息展示规则是每个用户都可以看到他所访问的组织的人员信息;例如,“user1”拥有“财务助理”和“商务助理”两个级别,因此他只能看到“人员1”和“人员3”的信息。同样,‘user2’只有‘商务助理’级别的权限,所以他只能看到‘人员3’的信息。因此,该系统中的每个用户都具有特定的访问级别。
现在考虑在这个系统中,每个用户登录后只能看到他有权访问的人员信息。因此这个系统的table结构是这样的:
[Organization]
id
code
name
[Employee]
id
first_name
last_name
organization_id
[User]
id
user_name
password
[UserOrganization]
user_id
organization_id
以下查询足以为每个用户获取正确的人员信息结果:
select *
from employee e
where e.organization_id in
(select uo.organization_id
from user_organization uo
where uo.user_id=:authenticatedUserId)
正如我们所见,以下条件定义了显示正确数据的访问逻辑:
e.organization_id in
(select uo.organization_id
from user_organization uo
where uo.user_id=:authenticatedUserId)
这种访问级别也称为“行级别安全”(RLS)。
另一方面,相应的存储库 class,可能有几个方法负责读取数据,所有这些方法都必须满足适当的访问级别条件。在这种情况下,访问级别条件将在某些地方(方法)重复。似乎使用“休眠过滤器”将是解决此问题的合适方法。唯一需要的是一个过滤器,它获取经过身份验证的用户的 ID 并在每个读取方法之前执行“enablefilter”命令。
@Filters( {
@Filter(name=“EmployeeAuthorize", condition="(organization_id in (select uo.organization_id from user_organization uo where uo.user_id=:authenticatedUserId) ) ")
} )
现在的问题是,提出的解决方案是否正确?如果是,如何在 spring 数据中使用此方法?
PS: 由于我们不想依赖数据库,所以数据库端的实现不能作为备选方案,因此我们不得不在应用端(层面)实现。
有了 Spring,您可以使用以下东西:
1) 您可以使用 SpEL EvaluationContext extension 使安全属性和表达式在 @Query 注释的 SpEL 表达式中可用。这允许您只获取与当前用户相关的那些业务对象:
interface SecureBusinessObjectRepository extends Repository<BusinessObject, Long> {
@Query("select o from BusinessObject o where o.owner.emailAddress like ?#{hasRole('ROLE_ADMIN') ? '%' : principal.emailAddress}")
List<BusinessObject> findBusinessObjectsForCurrentUser();
}
2) 您可以在网络安全表达式中 refer to Beans and use path variables。这允许您仅授予当前用户允许的那些对象的访问权限:
@Service
public class UserService {
public boolean checkAccess(Authentication authentication, int id) {
// ...
}
}
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// ...
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/businessObjects/{id}/**").access("@userService.checkAccess(authentication, #id)")
// ...
}
}
查看 my demo project 了解更多详情。在此示例中,如果用户属于与这些用户相关的类别,则他们可以访问房间。管理员可以访问所有房间。
阿里,这是一个有趣的场景。
有两个问题您需要在这里回答。
第一个问题 - 公开数据时,系统是只进行过滤还是会超越过滤?
例如,如果您公开像 users/{id} 这样的操作 - 那么您需要检查授权 - 并确保用户有权访问该操作。如果您只是简单地公开 /users 之类的操作 - 那么您所需要的只是过滤,因为您将简单地公开当前用户有权查看的用户。
这种区别将决定很多实施。
第二个问题 - 您可以做多少体力劳动?
一方面,您可以根据框架的需要调整数据 - 并尝试尽可能多地依赖内置功能(安全表达式、ACL)。
或者,另一方面,您可以调整代码以适应您的数据结构 - 并更加手动地执行操作。
这是我最先关注的两个因素,因为根据这 4 个决定,实施看起来会完全不同。
最后,回答您的 "can ACL scale" 问题 - 两个简短的注释。
一 - 你需要测试。是的,ACL 可以扩展,但它能否扩展到 10K 或 100K 不是一个可以具体回答的问题,无需测试。
其次,当您进行测试时,请考虑实际情况。了解解决方案的局限性当然很重要。但是,除此之外,如果您认为您的系统将拥有 100 万个实体 - 很好。但如果它不会——那就不要把它作为目标。
希望对您有所帮助。
信息软件中的一个非常重要的问题是存在具有不同职责和访问级别的不同角色的用户。例如,考虑具有如下结构(层次结构)的组织:
[Organization Role ] [Organization ID]
CEO org01
Financial Assistant org0101
personnel 1
Software Assistant org0102
personnel 2
Commercial Assistant org0103
personnel 3
想象一下,这个组织有一个管理人员信息的系统。本系统人员信息展示规则是每个用户都可以看到他所访问的组织的人员信息;例如,“user1”拥有“财务助理”和“商务助理”两个级别,因此他只能看到“人员1”和“人员3”的信息。同样,‘user2’只有‘商务助理’级别的权限,所以他只能看到‘人员3’的信息。因此,该系统中的每个用户都具有特定的访问级别。 现在考虑在这个系统中,每个用户登录后只能看到他有权访问的人员信息。因此这个系统的table结构是这样的:
[Organization]
id
code
name
[Employee]
id
first_name
last_name
organization_id
[User]
id
user_name
password
[UserOrganization]
user_id
organization_id
以下查询足以为每个用户获取正确的人员信息结果:
select *
from employee e
where e.organization_id in
(select uo.organization_id
from user_organization uo
where uo.user_id=:authenticatedUserId)
正如我们所见,以下条件定义了显示正确数据的访问逻辑:
e.organization_id in
(select uo.organization_id
from user_organization uo
where uo.user_id=:authenticatedUserId)
这种访问级别也称为“行级别安全”(RLS)。 另一方面,相应的存储库 class,可能有几个方法负责读取数据,所有这些方法都必须满足适当的访问级别条件。在这种情况下,访问级别条件将在某些地方(方法)重复。似乎使用“休眠过滤器”将是解决此问题的合适方法。唯一需要的是一个过滤器,它获取经过身份验证的用户的 ID 并在每个读取方法之前执行“enablefilter”命令。
@Filters( {
@Filter(name=“EmployeeAuthorize", condition="(organization_id in (select uo.organization_id from user_organization uo where uo.user_id=:authenticatedUserId) ) ")
} )
现在的问题是,提出的解决方案是否正确?如果是,如何在 spring 数据中使用此方法? PS: 由于我们不想依赖数据库,所以数据库端的实现不能作为备选方案,因此我们不得不在应用端(层面)实现。
有了 Spring,您可以使用以下东西:
1) 您可以使用 SpEL EvaluationContext extension 使安全属性和表达式在 @Query 注释的 SpEL 表达式中可用。这允许您只获取与当前用户相关的那些业务对象:
interface SecureBusinessObjectRepository extends Repository<BusinessObject, Long> {
@Query("select o from BusinessObject o where o.owner.emailAddress like ?#{hasRole('ROLE_ADMIN') ? '%' : principal.emailAddress}")
List<BusinessObject> findBusinessObjectsForCurrentUser();
}
2) 您可以在网络安全表达式中 refer to Beans and use path variables。这允许您仅授予当前用户允许的那些对象的访问权限:
@Service
public class UserService {
public boolean checkAccess(Authentication authentication, int id) {
// ...
}
}
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// ...
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/businessObjects/{id}/**").access("@userService.checkAccess(authentication, #id)")
// ...
}
}
查看 my demo project 了解更多详情。在此示例中,如果用户属于与这些用户相关的类别,则他们可以访问房间。管理员可以访问所有房间。
阿里,这是一个有趣的场景。
有两个问题您需要在这里回答。
第一个问题 - 公开数据时,系统是只进行过滤还是会超越过滤? 例如,如果您公开像 users/{id} 这样的操作 - 那么您需要检查授权 - 并确保用户有权访问该操作。如果您只是简单地公开 /users 之类的操作 - 那么您所需要的只是过滤,因为您将简单地公开当前用户有权查看的用户。 这种区别将决定很多实施。
第二个问题 - 您可以做多少体力劳动?
一方面,您可以根据框架的需要调整数据 - 并尝试尽可能多地依赖内置功能(安全表达式、ACL)。 或者,另一方面,您可以调整代码以适应您的数据结构 - 并更加手动地执行操作。
这是我最先关注的两个因素,因为根据这 4 个决定,实施看起来会完全不同。
最后,回答您的 "can ACL scale" 问题 - 两个简短的注释。 一 - 你需要测试。是的,ACL 可以扩展,但它能否扩展到 10K 或 100K 不是一个可以具体回答的问题,无需测试。
其次,当您进行测试时,请考虑实际情况。了解解决方案的局限性当然很重要。但是,除此之外,如果您认为您的系统将拥有 100 万个实体 - 很好。但如果它不会——那就不要把它作为目标。
希望对您有所帮助。