WebX框架的页面授权

WebX框架的页面授权

什么是页面授权，简单来说就是对于一个Web应用程序里，哪些页面可以被哪些人在什么情况下访问进行限制。举个简单的例子，有些页面只有用户登录以后才能访问，而另外一些页面无论是否用户登录都能访问。那在这种情况下就需要对页面进行授权管理。

最简单的对页面进行授权管理的方式，就是在每个页面的访问逻辑前都加一段代码去判断是否登录了。如果没有登录就跳转到登录页面，如果登录了就放过。但是这样的检查每个页面都要写一遍太麻烦，即便是携程一个函数或者逻辑，每个地方拷贝一下也是令人崩溃的事情。

当然幸好Java提供了Servlet Filter，使用这个东西会更方便一点。

对于WebX来说，里面对于页面授权的管理提供了一定的支持。尽管不是非常好，但也在一定程度上减少了实现页面授权的实现复杂度。

WebX的页面授权是假定用户实现的Web App使用了多用户以及角色来管理页面的权限。具体的就是有多个用户，每个用户拥有多种角色。可以根据用户来管理页面授权，也可以根据用户对应的角色来管理页面授权。

要使用WebX的页面授权机制，简单的分为如下两个步骤：

1.实现在一个处理回调类，处理对于页面访问授权（WebX会回调对应的方法）。
2.在项目对应的模块的webx-XX.xml中添加，对应的规则。


我们首先来说明一下怎么去实现这个回调类。该类必须满足如下两个条件：
1.继承自 com.alibaba.citrus.springext.support.BeanSupport 类。
2.且必须同时实现com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback接口。
3.必须自定义一个数据类，作为泛型参数。该参数由该类自己构造，并在构造完成以后，交给WebX（构造改参数的对象可以在任何地方，但是返回该对象给WebX是在onStart方法），在WebX回调该类的方法的时候，用作参数。其作用在于记录用户的回调类需要的一些状态信息。

下面以一个具体的例子来看一下，实现。

public class PageAccessCheck extends BeanSupport implements Callback<PageAccessCheck.Status> {
    private static final Logger log = LoggerFactory.getLogger(PageAccessCheck.class);
    private String userName;
    /* (non-Javadoc)
     * @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#getUserName(java.lang.Object)
     */
    @Override
    public String getUserName(Status status) {
        return userName;
    }

    /* (non-Javadoc)
     * @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#getRoleNames(java.lang.Object)
     */
    @Override
    public String[] getRoleNames(Status status) {
        if (userName != null) {
            return new String[] { "admin"};
        }
        return null;
    }

    /* (non-Javadoc)
     * @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#getActions(java.lang.Object)
     */
    @Override
    public String[] getActions(Status status) {
        // TODO Auto-generated method stub
        return null;
    }

    /* (non-Javadoc)
     * @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#onStart(com.alibaba.citrus.turbine.TurbineRunData)
     */
    @Override
    public Status onStart(TurbineRunData rundata) throws Exception {
        HttpSession session = rundata.getRequest().getSession();
        userName = (String) session.getAttribute("userName");
        return new Status(rundata);
    }

    /* (non-Javadoc)
     * @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#onAllow(java.lang.Object)
     */
    @Override
    public void onAllow(Status status) throws Exception {
        // TODO Auto-generated method stub
        log.debug("Acess allowed!");
    }

    /* (non-Javadoc)
     * @see com.alibaba.citrus.turbine.pipeline.valve.PageAuthorizationValve.Callback#onDeny(java.lang.Object)
     */
    @Override
    public void onDeny(Status status) throws Exception {
        // TODO Auto-generated method stub
        log.error("Acess Denied!");
    }
    
    static class Status {
        private final TurbineRunData rundata;

        public Status(TurbineRunData rundata) {
            this.rundata = rundata;
        }
    }

}

这是我的一个简单的实现，类的名称可以按照自己的需要来命名。在访问的页面被拒绝的时候，打印错误日志信息。在通过授权验证的时候，同样打印日志信息。

WebX再每次执行页面授权验证的时候，会先构造一个这个PageAccessCheck对象，并调用对象的onStart方法。onStart方法的返回值被WebX持有，作为回调onAllow和onDeny及其他几个方法的参数。

在这个简单的实现里，AccessCheck.Status仅仅是作为了TurbineRunData的一个wrapper对象。如果你有任何需要的其他信息，也可以放入AccessCheck.Status类。

假设你需要在页面被拒绝访问的时候，不但要记录日志，还要跳转到某个特定的页面上，那就在onDeny里面添加自己的逻辑。

除了onAllow跟onDeny方法意外，还有几个方法，需要关注一下：
1. getUserName，该方法由WebX调用，获得当前登录的用户名。如果没有用户登录，可以返回null。那么WebX就会认为该用户是匿名用户。
2. getRoleNames，该方法由WebX调用，获得当前登录的用户的角色。

WebX调用上述两个方法，获取当前用户的名称及角色，然后根据对应模块下的访问规则，来决定对应的页面到底是否可以访问，如果可以访问，就回调onAllow方法，否则回调onDeny方法。

上面的回调类实现以后，怎么配置让WebX项目使用呢？
1.在项目对应的模块的pipeline.xml中增加一个对应的valve。大多数情况下，这些模块都是公用WEB-INF/common/pipeline.xml文件。如果该模块使用自己的pipeline.xml定义。就增加到自己的pipeline.xml中。

具体增加的语句就是:
    <pl-valves:pageAuthorization callbackClass="PageAccessCheck" />
注意：该条语句一般位于<pl-valves:checkCsrfToken />之后，<pl-valves:loop>语句之前。

2.在页面对应模块的配置文件（比如模块叫XX，那么对应的文件为webx-XX.xml）中增加如下配置（确保在标签<beans:beans>与</beans:beans>之间）：

    <services:page-authorization default="deny">
        <match target="/input">
            <grant user="anonymous">
                <deny>*</deny>
            </grant>
        </match>
        <match target="/input">
            <grant role="admin">
                <allow>*</allow>
            </grant>
        </match>
        <match target="/login">
            <grant user="anonymous">
                <allow>*</allow>
            </grant>
        </match>
        <match target="/">
            <grant user="anonymous, *">
                <allow>*</allow>
            </grant>
        </match>
    </services:page-authorization>

    这里的配置，是我的应用的，请根据自己的实际需要调整规则。每条规则对应一条match标签及内容。
    这里先以我的上述规则作为例子，来解释一下规则的语法。

    每条规则都以match标签来代表，match标签的target属性是用来匹配具体的访问路径的，这个路径是从Web App的context path之后开始的。
    规则的具体使用，描述起来比较麻烦。就以上述三条规则来说明一下，理解了以后，应该可以灵活使用满足自己的需求了。

    先看一下<services:page-authorization default="deny">这句话，这句话的意思是，本模块里面的页面默认全都是不允许访问的。除非是有具体的规则允许，这是最严格，也是最安全的配置。

    来看第一条规则，该规则，说的是，对于/input这个页面（URL），对于anonymous用户是拒绝的。还记得我们前面提及的getUserName方法吗？当该方法返回null值的时候，WebX就使用的是 anonymous用户。实际该条规则是冗余的，不需要的。为什么呢？因为我们的默认规则是deny，所以所有deny的规则都是多余的，和不必要的。

    来看第二条规则，该规则是说对于/input，对于所有角色为admin的用户，都是允许的。

    第三条规则时说，对于／login，对于匿名用户是允许的。为什么呢？如果匿名用户不允许访问login，那么匿名用户就永远没有机会变成非匿名用户了. :)
    第四条规则，是说对于该应用下的所有页面，对于匿名用户和其他用户，都是允许的。这似乎是跟default="deny"是矛盾的？确实是矛盾的，写在这里仅仅是为了演示规则的写法。

    那么你可能有个疑问，就是如果两条规则矛盾的时候，会发生什么？WebX来说，如果某个页面（URL）同时满足多条规则，那么deny的规则优先执行。