🤰 🧝 👩‍🏭 एप्लीकेशन सिक्योरिटी में ग्रूवी और एएसटी ट्रांसफॉर्मेशन ⏳ 👴 🤜🏻

प्रागितिहास

हम सुरक्षा को प्रबंधित करने के लिए ग्रेल्स पर एक छोटा पोर्टल विकसित कर रहे हैं और स्प्रिंग सिक्योरिटी का उपयोग कर रहे हैं। ग्रेल्स के लिए वसंत-सुरक्षा प्लगइन काफी सुविधाजनक है और आखिरी क्षण तक इसे जटिल कार्यक्षमता की आवश्यकता नहीं थी।

हाल ही में ग्रिल्स नियंत्रक विधियों के लिए @Secured एनोटेशन का उपयोग करके एक अप्रिय क्षण की खोज की गई है। समस्या यह है कि एनोटेशन को रनटाइम पर संसाधित किया जाता है और "पता -> आवश्यक भूमिकाओं का एक सेट" के लिए नियमों के एक सेट में परिवर्तित किया जाता है। यह दृष्टिकोण डेटा भंडारण / विलोपन कार्यों में ग्रेगल्स नियंत्रकों में कई समस्याओं को जन्म देता है, क्योंकि वे नियंत्रक के मुख्य URL पर डेटा भेजते हैं, पहले आपको नियंत्रक को एनोटेट करना होगा, और दूसरी बात, इस तरह के अनुरोधों के लिए विभिन्न प्रतिबंध लगाना असंभव है।

यह इस बारे में होगा कि समस्या को कैसे हल किया जाए और सुरक्षा नियमों के प्रबंधन के लिए एक अच्छा उपकरण प्राप्त किया जाए।

संभव समाधान

मुझे यह समझ में नहीं आया कि ग्रिल्स के प्लगइन के डेवलपर्स ने उपयोगकर्ताओं के संबंध में इतनी लापरवाही क्यों की, शायद यह उनके लिए सिर्फ आसान था।

वैकल्पिक समाधान:

नियंत्रकों के लिए AOP (बड़ी संख्या में नियमों को कॉन्फ़िगर करना मुश्किल है)
संकलन समय पर एनोटेशन बायोटेक का संकलन

जावा में लागू करने के लिए दूसरा दृष्टिकोण अप्रिय है, क्योंकि आपको विधानसभा चरणों को व्यवस्थित करने की आवश्यकता है। लेकिन ग्रूवी में नहीं। ग्रूवी में, मेटा-प्रोग्रामिंग या एएसटी ट्रांसफ़ॉर्मेशन (एब्स्ट्रैक्ट सिंटेक्स ट्री) आमतौर पर ऐसे उद्देश्यों के लिए उपयोग किया जाता है।

हम नियंत्रकों के अनुरोधों को फ़िल्टर करने के लिए मेटा-प्रोग्रामिंग पर विचार नहीं करेंगे, क्योंकि यह स्थिर समाधान की तुलना में हैक की तरह दिखता है।

परिवर्तन

रूपांतरण का उपयोग ग्रिल्स में व्यापक रूप से किया जाता है, उदाहरण के लिए, मॉडल कक्षाओं में आईडी और संस्करण फ़ील्ड जोड़ने के लिए। हम उन्हें नियंत्रक विधियों में कॉल फ़िल्टर करने के लिए उपयोग करेंगे।

परिवर्तन एक सरल जावा वर्ग है जो ASTTransformation इंटरफ़ेस को लागू करता है और @GroovyASTTransformation को एनोटेट करता है, जिसमें केवल एक विज़िट विधि होती है - और वास्तव में विज़िटर पैटर्न का एक विशिष्ट प्रतिनिधि होता है। परिवर्तन के लिए, आप उस संकलन चरण को निर्दिष्ट कर सकते हैं जिस पर इसे लागू किया गया है। और आगंतुक को आने वाले नोड्स का चयन करने के लिए, ग्रूवस्टट्रांसफॉर्मेशनक्लास के साथ एनोटेट किए गए एनोटेशन वर्ग की आवश्यकता होती है। परिणामस्वरूप, परिवर्तन सिंटैक्स ट्री को बदल देता है, परिणामी बाइट कोड को प्रभावित करते हुए नोड्स को जोड़ / बदल / हटा सकता है।

कुल मिलाकर, हमें कुछ एनोटेशन और एक परिवर्तन वर्ग की आवश्यकता है। सरलता के लिए, हम उन्हें @SuperSecured और SuperSecuredTransformation कहते हैं।

सारांश में स्ट्रिंग की एक सरणी का मूल्य होता है - विधि तक पहुंचने के लिए आवश्यक भूमिकाएं।
@ रिटेंशन (RetentionPolicy.SOURCE) - इंगित करता है कि एनोटेशन अंतिम बायोटेक में अनुपस्थित होगा।

package com.example; import org.codehaus.groovy.transform.GroovyASTTransformationClass; import java.lang.annotation.*; @Target({ElementType.METHOD}) @Retention(RetentionPolicy.SOURCE) @GroovyASTTransformationClass("com.example.SuperSecuredTransformation") public @interface SuperSecured { String[] value() default {}; }

परिवर्तन:

 package com.example; import org.codehaus.groovy.ast.*; import org.codehaus.groovy.ast.expr.*; import org.codehaus.groovy.ast.stmt.*; import org.codehaus.groovy.control.*; import org.codehaus.groovy.transform.*; import java.util.List; @GroovyASTTransformation(phase = CompilePhase.SEMANTIC_ANALYSIS) public class SuperSecuredTransformation implements ASTTransformation { @Override public void visit(ASTNode[] astNodes, SourceUnit sourceUnit) { if (astNodes != null) { for (ASTNode node : astNodes) { if (node instanceof MethodNode) { MethodNode methodNode = (MethodNode) node; List<AnnotationNode> annotations = methodNode.getAnnotations(new ClassNode(SuperSecured.class)); if (annotations != null && !annotations.isEmpty()) { injectRolesCheck(methodNode, annotations); } } } } } private void injectRolesCheck(MethodNode method, List<AnnotationNode> annotations) { for (AnnotationNode annotationNode : annotations) { BlockStatement code = (BlockStatement) method.getCode(); Expression rolesValue = annotationNode.getMember("value"); Expression checkRolesExpression = new StaticMethodCallExpression( new ClassNode(SuperSecuredInspector.class), "rejectByRoles", new ArgumentListExpression( rolesValue ) ); code.getStatements().add(0, new ExpressionStatement(checkRolesExpression)); } } }

यह निम्नलिखित निकला: रूपांतरण @ के रूप में एनोटेट किए गए सिंटैक्स ट्री नोड्स में होता है और, यदि यह एक विधि है, तो शुरुआत में स्थैतिक विधि में एक कॉल के साथ जुड़ जाता है SuperSecuredInspector.rejectByodoles एनोटेशन मूल्य में भूमिकाओं की एक सूची के साथ। यह विधि एक AccessDeniedException फेंकता है यदि वर्तमान उपयोगकर्ता सुरक्षा शर्तों को पूरा नहीं करता है।

अंत में इस तरह के एनोटेशन का उपयोग करना एक खुशी है।

निष्कर्ष

यह दृष्टिकोण आपको वस्तुओं तक पहुँचने के लिए जटिल नियमों की पहचान करने और उन्हें कोड में डुप्लिकेट करने की अनुमति नहीं देता है। एनोटेशन काफी अभिव्यंजक हैं, और कोड पीढ़ी सांख्यिकीय रूप से टाइप की जाती है, जो निष्पादन के दौरान त्रुटियों से बचने में मदद करती है।

ट्रांसफॉर्मेशन ग्रूवी में एओपी के लिए एक योग्य विकल्प है।

संदर्भ

PS हब डेवलपर्स, कृपया स्रोत टैग में @ चिह्न के प्रदर्शन की मरम्मत करें।

एप्लीकेशन सिक्योरिटी में ग्रूवी और एएसटी ट्रांसफॉर्मेशन

प्रागितिहास

संभव समाधान

परिवर्तन

निष्कर्ष

संदर्भ

More articles: