Làm chủ Grails: Chứng thực và phân quyền

Chia sẻ: Nguyen Nhi | Ngày: | Loại File: PDF | Số trang:31

Thêm vào BST

Báo xấu

48
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Đảm bảo an ninh cho các ứng dụng Grails của bạn Scott Davis , Tổng Biên tập, AboutGroovy.com Tóm tắt: Grails cung cấp tất cả các khối xây dựng cơ bản bạn cần để lắp ghép thành một ứng dụng Web an toàn, các khối này được sắp xếp từ mức thẩm định quyền đơn giản thông qua cơ chế đăng nhập đến việc phân quyền dựa trên vai trò, và trong phần Làm chủ Grails, Scott Davis cung cấp cho bạn những bài học thực hành về đảm bảo an ninh cho ứng dụng Grails của bạn. Bạn...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Làm chủ Grails: Chứng thực và phân quyền

Làm chủ Grails: Chứng thực và phân quyền Đảm bảo an ninh cho các ứng dụng Grails của bạn Scott Davis , Tổng Biên tập, AboutGroovy.com Tóm tắt: Grails cung cấp tất cả các khối xây dựng cơ bản bạn cần để lắp ghép thành một ứng dụng Web an toàn, các khối này được sắp xếp từ mức thẩm định quyền đơn giản thông qua cơ chế đăng nhập đến việc phân quyền dựa trên vai trò, và trong phần Làm chủ Grails, Scott Davis cung cấp cho bạn những bài học thực hành về đảm bảo an ninh cho ứng dụng Grails của bạn. Bạn cũng sẽ đ ược học về các trình gắn vào (plug-in) sao cho bạn có thể mở rộng khả năng đảm bảo an ninh cho ứng dụng của bạn theo nhiều hướng mới. Trong bài viết này, tôi tiếp tục việc xây dựng một "blog siêu nhỏ" có tên là Blogito. Tôi đã sử dụng lại các Users trong bài viết trước (" Rewiring Grails with custom URIs and codecs") bởi vì trường name là một phần của URI đầy đủ. Đã đến lúc thực thi hệ thống con User đầy đủ. Bạn sẽ học cách để tạo cơ chế đăng nhập, hạn chế hoạt động của người dùng dựa vào việc User có đăng nhập hay không, và thậm chí thêm vào một số quyền dựa trên vai trò của User. Để bắt đầu, người sử dụng cần có một cách đăng nhập vào blog sao cho họ có thể bổ sung các entry mới. Việc thẩm định quyền Việc thẩm định quyền có lẽ là một ý tưởng tốt đối với các máy chủ blog hỗ trợ nhiều người dùng. Dĩ nhiên là bạn không muốn một người dùng có tên là John Doe lại tình cờ bổ sung các entry lên blog hệt như người dùng tên Jane Smith. Việc thiết lập cơ sở cho việc thẩm định quyền là trả lời câu hỏi: "Bạn là ai?". Ngay
sau đó, bạn sẽ có thêm một chút quyền nữa, và nó trả lời cho câu hỏi: "Bạn được phép làm gì?" Ví dụ 1 biểu diễn một tệp grails-app/domain/User.groovy mà bạn đã tạo ra vào lần trước: Ví dụ 1. Lớp User class User { static constraints = { login(unique:true) password(password:true) name() } static hasMany = [entries:Entry] String login String password String name
String toString(){ name } } Các trường login và password đã được đặt đúng vị trí. Tất cả những gì bạn cần là cung cấp một điều khiển (controller) và một mẫu biểu (form). Hãy tạo ra tệp grails-app/controllers/UserController.groovy và thêm vào đoạn mã, như trong ví dụ 2: Ví dụ 2. Thêm xác thực quyền login , và logout cho điều khiển UserController class UserController { def scaffold = User def login = {} def authenticate = {
def user = User.findByLoginAndPassword(params.login, params.password) if(user){ session.user = user flash.message = "Hello ${user.name}!" redirect(controller:"entry", action:"list") }else{ flash.message = "Sorry, ${params.login}. Please try again." redirect(action:"login") } } def logout = { flash.message = "Goodbye ${session.user.name}" session.user = null redirect(controller:"entry", action:"list") } }
Một lệnh login rỗng đơn giản sẽ kết thúc ngay sau khi được gọi. Có nghĩa là việc viếng thăm trang http://localhost:9090/blogito/user/login bằng tr ình duyệt sẽ trả về tệp grails-app/views/user/login.gsp. (Bạn sẽ tạo ra tệp đó ngay lập tức.) Việc kết thúc authenticate sử dụng một phương thức GORM thuận tiện — findByLoginAndPassword() — để tìm ra thông tin kiểu như: tìm User trong cơ sở dữ liệu, mà giá trị login và password khớp với giá trị được đưa vào trong các trường này ở trên mẫu biểu và làm cho chúng khả dụng thông qua ánh xạ băm params. Nếu User tồn tại, thêm nó vào một phiên làm việc (session). Ngược lại, quay lại mẫu biểu đăng nhập và cho User một cơ hội khác để cung cấp thông tin xác thực đúng. Lệnh đăng xuất logout đưa ra lời chào tạm biệt User, xóa thông tin về người sử dụng trong phiên làm việc và sau đó chuyển đến hành động list trong EntryController. Đã đến lúc bạn tạo ra tệp login.gsp rồi. Bạn có thể gõ lại đoạn mã trong ví dụ 3 hoặc bạn có thể: 1. Gõ grails generate-views User tại cửa sổ dòng lệnh (command line). 2. Sao chép tệp create.gsp vào tệp login.gsp. 3. Sửa đi một chút để có mã kết quả. Ví dụ 3. login.gsp
Login Login ${flash.message} Login:
Password:
Chú ý rằng action của mẫu biểu là authenticate, nó so khớp tên của bao đóng trong UserController.groovy. Các tên trong các thành ph ần nhập liệu — login và password — phù hợp với các tham số params.login và params.password trong bao đóng authenticate. Gõ grails run-app và thực hiện việc thẩm định quyền của bạn lặp lại vài lần. Thử đăng nhập với tên người dùng là jsmith và password là foo. (Nhớ rằng trong " Rewiring Grails with custom URIs and codecs (Mắc nối các Grail với các URI tùy chỉnh và các bộ mã hóa/giải mã)" bạn đã khởi tạo Blogito với một cặp người dùng trong grails-app/conf/BootStrap.groovy.) Việc đăng nhập của bạn bị lỗi, như trong hình 1:
Hình 1. Thông báo lỗi đăng nhập Thử lại với tên đăng nhập jsmith và password là wordpass. Lần này việc đăng nhập đã thành công. Nếu thông báo chào mừng không xuất hiện trong grails-app/views/entry/list.gsp — thì đơn giản là bạn hãy — sao chép khối từ tệp login.gsp và dán vào đầu tệp list.gsp. Đăng nhập lại với tên jsmith để kiểm chứng rằng thông báo xuất hiện giống như trong hình 2:
Hình 2. Một thông báo động xác thực việc đăng nhập thành công Đến đây bạn chắc chắn rằng quyền hạn của mình đã được thực thi, bạn nên tạo ra một thẻ TagLib sao cho việc đăng nhập và đăng xuất được dễ dàng. Việc tạo ra một quyền hạn TagLib
Các trang web như Google và Amazon đưa ra một đoạn văn bản liên kết nho nhỏ trong phần đầu trang cho phép bạn đăng nhập và đăng xuất. Bạn cũng có thể làm được điều tương tự trong Grails với chỉ một ít dòng lệnh. Để bắt đầu, gõ grails create-tag-lib Login trong cửa sổ dòng lệnh. Thêm vào đoạn mã trong ví dụ 4 vào tệp grails-app/taglib/LoginTagLib.groovy vừa được tạo ra: Ví dụ 4. LoginTagLib.groovy class LoginTagLib { def loginControl = { if(session.user){ out < "Hello ${session.user.name} " out < "[${link(action:"logout", controller:"user"){"Logout"}}]" } else { out < "[${link(action:"login", controller:"user"){"Login"}}]" } } }
Bây giờ, thêm một thẻ mới vào grails- app/views/layouts/_header.gsp, như trong ví d ụ 5: Ví dụ 5. Thêm thẻ vào đầu trang Blogito A tiny little blog Để hoàn thành, thêm một số định dạng CSS cho loginHeader vào file web- app/css/main.css, như trong ví dụ 6: Ví dụ 6. Định dạng CSS cho loginHeader
#loginHeader { float: right; color: #fff; } Khi bạn khởi động lại Grails và đăng nhập với tên jsmith, màn hình hiển thị như trong hình 3:
Hình 3. Đăng nhập TagLib trong hành động Cơ bản về việc phân quyền Đến đây, Blogito đã biết bạn là ai. Bước tiếp là việc giới hạn những thứ mà bạn có thể làm. Ví dụ: mọi người đều có thể đọc Entry, nhưng chỉ người đăng nhập mới có quyền tạo mới, sửa đổi và xóa một Entry. Để hoàn thành việc này, Grails đề
xuất một phương thức chặn trước beforeInterceptor, cung cấp cho bạn một phương tiện hoàn hảo để thực hiện các hoạt động phân quyền trước khi bao đóng đích được gọi. Thêm đoạn mã như trong ví dụ 7 vào điều khiển EntryController: Ví dụ 7. Thêm sự phân quyền vào điều khiển EntryController class EntryController { def beforeInterceptor = [action:this.&auth, except:["index", "list", "show"]] def auth() { if(!session.user) { redirect(controller:"user", action:"login") return false } } def list = {
//snip... } } Một sự khác biệt nho nhỏ nhưng quan trọng giữa auth và list là: list là một bao đóng, trong khi đó auth là một phương thức riêng. (Các bao đóng sử dụng dấu bằng trong phần định nghĩa, còn phương thức thì sử dụng dấu ngoặc đơn.) Các bao đóng đối với người dùng giống như một URI, trong khi các phương thức thì không thể truy cập đến từ trình duyệt. Phương thức auth kiểm tra xem một User có trong phiên làm việc không. Nếu không có, màn hình đăng nhập được trả về và thông báo lỗi, khóa việc gọi bao đóng gốc. Phương thức auth được gọi trước khi mỗi bao đóng được gọi bởi beforeInterceptor. Hành động sử dụng ký hiệu Groovy để chỉ đến phương thức auth của lớp this sử dụng ký tự (&). Danh sách except chứa các bao đóng nên được bỏ qua khi gọi auth. Bạn có thể thay thế except bởi only nếu bạn chỉ muốn ngăn chặn việc gọi một số ít bao đóng. (Để biết thêm thông tin về beforeInterceptor, xem Tài nguyên.) Khởi động lại Grails và kiểm tra beforeInterceptor. Thử vào trang http://localhost:9090/blogito/entry/create mà không đăng nh ập. Bạn sẽ bị chuyển đến trang đăng nhập. Hãy đăng nhập vào trang với tên jsmith và thử lại. Lần này bạn có thể tạo thành công một Entry mới.
Sự phân quyền mịn Sự phân quyền thô được đề xuất bởi beforeInterceptor mới chỉ là một sự khởi đầu cho việc phân quyền, nhưng bạn cũng có thể thêm các móc nối (hooks) phân quyền cho riêng các bao đóng. Ví dụ, như những gì thể hiện ở đây, bất cứ User — người nào đã đăng nhập chứ không riêng gì tác giả — đều có thể sửa đổi Entry. Bạn có thể đóng lỗ hổng an ninh đó bằng cách thêm bốn dòng lệnh sau vào vị trí thích hợp trong bao đóng edit trong tệp EntryController.groovy, như trong ví dụ 8: Ví dụ 8. Thêm quyền cho bao đóng edit def edit = { def entryInstance = Entry.get( params.id ) //limit editing to the original author if( !(session.user.login == entryInstance.author.login) ){ flash.message = "Sorry, you can only edit your own entries." redirect(action:list) }
if(!entryInstance) { flash.message = "Entry not found with id ${params.id}" redirect(action:list) } else { return [ entryInstance : entryInstance ] } } Bạn có thể (và nên) khóa các bao đóng delete và update bằng cách dùng bốn dòng lệnh nói trên. Nếu bạn không bằng lòng với việc sao chép các dòng lệnh trên và dán nó vào nhiều nơi khác nhau (việc này là không nên), bạn có thể tạo ra một phương thức đơn giản và gọi phương thức này trong ba bao đóng. Nếu bạn thấy rằng bạn đang sử dụng cùng phương thức beforeInterceptor và các phương thức riêng thông qua nhiều điều khiển (controllers), bạn có thể đẩy cách xử lý th ường gặp vào trong một điều khiển chủ đơn và có thêm các điều khiển khác mở rộng nó khi cần bằng cách sử dụng các lớp Java. Bạn có thể thêm một thứ nữa vào hạ tầng cơ sở thẩm định quyền để làm cho nó mạnh hơn: các vai trò.
Việc thêm các vai trò Việc gán một vai trò cho các Users là một cách thuận lợi để nhóm người dùng thành từng nhóm. Bạn có thể gán quyền cho cả nhóm thay vì cho từng người sử dụng. Ví dụ: ngay bây giờ bất cứ ai cũng có thể tạo ra một User mới. Chỉ việc kiểm tra những người đăng nhập không đảm bảo an toàn. Tôi thích giới hạn khả năng của người dùng bằng cách giao quyền quản lý các tài khoản User cho một người quản trị. Ví dụ 9 về việc thêm trường vai trò (role) cho User, cũng như ràng buộc về việc giới hạn các giá trị cho author hoặc admin: Ví dụ 9. Việc thêm một trường vai trò cho User class User { static constraints = { login(unique:true) password(password:true) name() role(inList:["author", "admin"]) }
static hasMany = [entries:Entry] String login String password String name String role = "author" String toString(){ name } } Chú ý rằng giá trị role mặc định được gán bằng author. Các ràng buộc inList có trong một hộp kết hợp (combo box) với chỉ hai lựa chọn đúng. Hình 4 cho thấy điều đó khi hoạt động: