• dopuszczać tylko zalogowanych użytkowników (tak, jak poprzednio),
• pozwalać na oglądanie zasobów wszystkim zalogowanym użytkownikom (posiadającym rolę „users”),
• pozwalać na edycję/usuwanie/tworzenie nowych zasobów tylko użytkownikom posiadającym rolę „admin” (pozostali użytkownicy dostają informację o braku dostępu)

Jak widzisz, wykorzystamy szkielet poprzedniej aplikacji. Zauważ też, że wprowadzamy pojęcie roli, czym jest rola?
Zgodnie z infomacją na stronie wtyczki, to

a job or a set of responsibilities that a person can have

, czyli zbiór odpowiedzialności, które posiada dany użytkownik w systemie. System, oczywiście, musi takiemu użytkownikowi udostępnić możliwość wykonania czynności wchodzących w skład takich odpowiedzialności. Upraszczając – posiadanie danej roli pozwala na dostęp do zasobów systemu, do których dostęp bez niej jest zabroniony.
Założeniem naszej aplikacji jest, aby każdy zalogowany użytkownik mógł oglądać dane, jednak modyfikacja jakichkolwiek informacji wiąże się z obowiązkiem posiadania roli admina.

Zaczynajmy.

1. Dodajemy nowe klasy dziedzinowe

Musimy zdefiniować nowe klasy dziedzinowe, które pozwolą nam utrwalać informacje o rolach i powiązaniach ich z użytkownikami.

class Role {
    String name
}

class UserRoleRef {
    User user
    Role role
}

Dzięki takim klasom dziedzinowym (i klasie User z poprzedniego wpisu) możliwa będzie realizacja referencji wiele-do-wielu – jeden użytkownik może mieć wiele ról w systemie, a jedna rola może być w posiadaniu wielu użytkowników.

Możemy teraz zapisać wstępnie uprawnienia dostępu do naszego systemu, np. tak:

// użytkownicy
def jasiu = new User(username: "jasiu", password: new Sha1Hash("sekret").toHex()).save()
def admin = new User(username: "admin", password: new Sha1Hash("admin").toHex()).save()
 
// role
def usersRole = new Role("users").save()
def adminRole = new Role("admin").save()
 
// powiązania user-role
new UserRoleRef(user: jasiu, role: usersRole).save()
new UserRoleRef(user: admin, role: adminRole).save()

2. Uaktualniamy filtr

Role i powiązania z użytkownikami mamy już zdefiniowane i zapisane w bazie danych, jednak wciąż nie wiemy po co nam one. Samo posiadanie praw „admina” nic nie daje, jeśli nie wiemy, co one dają. Uaktualniamy nasz plik SecurityFilters.groovy tak:

class SecurityFilters {
    def filters = {
        auth(controller: "*", action: "*") {
            before = {
                accessControl { true }
            }
        }
 
        manageRecord(controller: "*", action: "(create|edit|save|update|delete)") {
            before = {
                accessControl {
                    role("admins")
                }
            }
        }
 
        showRecord(controller: "*", action: "show") {
            before = {
                accessControl {
                    role("admins") || role("users")
                }
            }
        }
    }
}

Jak widać, mamy zdefiniowane dwie reguły dostępu do dowolnego kontrolera (gwiazdka), ale z wyszczególnionymi akcjami. Akcja show wymaga posiadania roli „users”, albo „admins” (czyli dowolnej, na chwilę obecną), a akcje pozwalające na modyfikacje informacji – roli „admins”.

3. Rozszerzamy funkcjonalność MyRealm

Czas na fragment kodu, który będzie odpowiadał za sprawdzanie, czy dany użytkownik posiada daną rolę. Wzbogacamy naszą klasę MyRealm w dwie dodatkowe (poza authenticate()) metody:

    def hasRole(principal, roleName) {
        def criteria = UserRoleRef.createCriteria()
        def roles = criteria.list {
            role {
                eq('name', roleName)
            }
            user {
                eq('username', principal)
            }
        }
 
        return roles.size() > 0
    }
 
    def hasAllRoles(principal, roles) {
        def criteria = UserRoleRef.createCriteria()
        def r = criteria.list {
            role {
                'in'('name', roles)
            }
            user {
                eq('username', principal)
            }
        }
 
        return r.size() == roles.size()
    }

Obie są dość proste – pierwsza sprawdza istnienie referencji użytkownik-rola dla zadanych parametrów, druga metoda robi to samo, ale ze zbiorem ról zadanych jako parametr.

4. Dodajemy widok informujący o braku dostępu

Założenia mamy takie, żeby użytkownik bez dostępu do konkretnego zasobu został o tym poinformowany komunikatem. W tym celu wprowadzamy drobne usprawnienie do naszego kontrolera AuthController. Wprowadzamy domknięcie unauthorized, które będzie wykonane za każdym razem, gdy użytkownik spróbuje wykonać akcję, do której nie ma dostępu.

def unauthorized = {
}

… oraz plik widoku dla takiej akcji (views/auth/unauthorized.gsp):

<%@ page contentType="text/html;charset=UTF-8" %>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>Brak dostępu</title>
  </head>
  <body>
    <h1>Dostęp zabroniony</h1>
  </body>
</html>

5. Uaktualnianie menu

Nasze zabezpieczanie właściwie się zakończyło, jednak warto jeszcze zadbać o dodatkową rzecz. Jeśli pracujemy na widokach wygenerowanych przez Grails (np. za pomocą komendy grails generate-all <klasa_dziedzinowa>), to każdy z widoków wyposażony jest w przyciski/odnośniki kierujące do stron pozwalających na modyfikację/dodawanie/usuwanie rekordów, np. takich:

<div class="nav">
    <span class="menuButton"><a class="home" href="${createLinkTo(dir:'')}">Home</a></span>
    <span class="menuButton">New Book</span>
</div>

Teoretycznie nic się nie stanie, jeśli tak to zostawimy, bo nawet kliknięcie na link New Book nie spowoduje wygenerowania formularza tworzenia nowej książki, tylko skieruje nas do strony z informacją o braku dostępu. Jednak… czego oczy nie widzą, tego sercu nie żal :) więc warto ukryć przed użytkownikiem te pozycje menu, które nie są mu potrzebne. Wykorzystamy więc znacznik jsec:hasRole:

<div class="nav">
    <span class="menuButton"><a class="home" href="${createLinkTo(dir:'')}">Home</a></span>
    <jsec:hasRole name="admins">
        <span class="menuButton"><g:link class="create" action="create">New Book</g:link></span>
    </jsec:hasRole>
</div>

Od tej pory odnośnik New Book pokaże się tylko użytkownikom posiadającym rolę „admins”. Takie modyfikacje możemy wprowadzić we wszystkich widokach naszej aplikacji.

I to właściwie wszystko jeśli chodzi o kontrolę ról za pomocą JSecurity w Grails.

Dość ciekawą rzeczą, która warta jest poznania, ale nie opisałem jej tutaj (miało być prosto, więc nie chciałem dodatkowo komplikować) jest kontrola uprawnień za pomocą JSecurity. Wtyczka dla Grails pozwala na kontrolę uprawnień nie tylko na poziomie kontroler/akcja, ale też np. dostępu do plików, albo innych zasobów systemowych.

Poniższy wpis jest oparty właśnie na wspomnianym wyżej QuickStarcie, jednak został uproszczony i ograniczony jedynie do mechanizmu autentykacji uwierzytelnienia, nie zaś autoryzacji (kontroli dostępu do zasobów) użytkowników.

Dostęp do aplikacji z JSecurity jest realizowany za pomocą przestrzeni (ang. realms), można skonstruować mechanizm autentykacji uwierzytelnienia (i autoryzacji) na różne sposoby, np. za pomocą katalogów LDAP, loginów systemowych, usług sieciowych itd. My wykorzystamy najbardziej tradycyjny mechanizm: sprawdzania użytkowników zapisanych w bazie danych. JSecurity realizuje mechanizm weryfikacji dostępu do poszczególnych zasobów systemu za pomocą przynależności użytkowników do ról, jednak mój przykład będzie znacznie prostszy – wystarczy, że użytkownik będzie istniał w bazie danych, a już będzie miał dostęp do zasobów systemu.

Oto jak wzbogacić naszą aplikację o wymaganie autentykacji uwierzytelniania użytkowników, kompletnie nie zajmując się kwestiami autoryzacji dostępu do zasobów (wszyscy zalogowani użytkownicy mają dostęp):

1. Instalujemy wtyczkę

grails install-plugin jsecurity

2. Tworzymy klasę dziedzinową użytkownika:

class User {
    String username
    String password
 
    static mapping = {
        table "users"
    }
 
    public String toString() {
        username
    }
}

Używam tutaj mapowania na inną niż domyślna nazwę tabeli (domyślnie byłaby „user”, a ja dałem „users”) – taką kiedyś mi wpojono konwencję, by tabele miały nazwy w liczbie mnogiej. Z kolei metoda toString() przyda się nam nieco później.

Sama tabelka nie wystarczy, trzeba jeszcze użytkownika zapisać w bazie. Możemy to zrobić używając poniższego fragmentu kodu:

new User(username: "jasiu", password: new Sha1Hash("sekret").toHex()).save()

Jak widzisz, hasło jest kodowane za pomocą algorytmu Sha1 (kodowanie to wspierane jest przez JSecurity), nie obędzie się więc bez:

import org.jsecurity.crypto.hash.Sha1Hash

3.  Dodajemy do katalogu grails-app/conf/ pliczek SecurityFilters.groovy o zawartości:

class SecurityFilters {
    def filters = {
        auth(controller: "*", action: "*") {
            before = {
                accessControl { true }
            }
        }
    }
}

Ten filtr spowoduje, że wszystkie żądania (gwiazdki oznaczają dowolny kontroler, i dowolną akcję) zostaną poddane działaniu naszego filtra, a ten, przed wykonaniem żądania, wymusi na nim sprawdzenie praw dostępu.

4. W katalogu realms/ tworzymy klasę MyDbRealm, o postaci:

import org.jsecurity.authc.AccountException
import org.jsecurity.authc.IncorrectCredentialsException
import org.jsecurity.authc.UnknownAccountException
import org.jsecurity.authc.SimpleAccount
 
class MyDbRealm {
    static authTokenClass = org.jsecurity.authc.UsernamePasswordToken
 
    def authenticate(authToken) {
        def username = authToken.username;
        def user = User.findByUsername(username);
        if (!user) {
            throw new UnknownAccountException("Użytkownik ${username} nie istnieje w bazie danych")
        }
 
        def account = new SimpleAccount(username, user.password, "MyDbRealm")
        if (!credentialMatcher.doCredentialsMatch(authToken, account)) {
            log.info 'Nieprawidłowe hasło dla użytkownika ${user.username}'
            throw new IncorrectCredentialsException("Nieprawidłowe hasło dla użytkownika ${user.username}")
        }
        return user;
    }
}

5. Tworzymy kontroler naszego mechanizmu uwierzytelniania AuthController (zapisujemy go oczywiście w katalogu controllers/ naszej aplikacji):

import org.jsecurity.authc.AuthenticationException
import org.jsecurity.authc.UsernamePasswordToken
import org.jsecurity.SecurityUtils
 
class AuthController {
    def jsecSecurityManager
 
    def index = { redirect(action: 'login', params: params) }
 
    def login = {
        return [ username: params.username, targetUri: params.targetUri ]
    }
 
    def signIn = {
        def authToken = new UsernamePasswordToken(params.username, params.password)
 
        try{
            this.jsecSecurityManager.login(authToken)
            def targetUri = params.targetUri ?: "/"
            redirect(uri: targetUri)
        }
        catch (AuthenticationException ex){
            log.info "Błąd logowania użytkownika: '${params.username}'."
            flash.message = "Logowanie nieudane"
 
            def m = [ username: params.username ]
            if (params.targetUri) {
                m['targetUri'] = params.targetUri
            }
 
            redirect(action: 'login', params: m)
        }
    }
 
    def signOut = {
        SecurityUtils.subject?.logout()
        redirect(uri: '/')
    }
}

6. Tworzymy okienko logowania (views/auth/login.gsp):

 
<html>
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
  <meta name="layout" content="main" />
  <title>Login</title>
</head>
<body>
  <g:if test="${flash.message}">
    <div class="message">${flash.message}</div>
  </g:if>
  <g:form action="signIn">
    <input type="hidden" name="targetUri" value="${targetUri}" />
    <table>
      <tbody>
        <tr>
          <td>Username:</td>
          <td><input type="text" name="username" value="${username}" /></td>
        </tr>
        <tr>
          <td>Password:</td>
          <td><input type="password" name="password" value="" /></td>
        </tr>
        <tr>
          <td />
          <td><input type="submit" value="Zaloguj" /></td>
        </tr>
      </tbody>
    </table>
  </g:form>
</body>
</html>

7. Modyfikujemy nasz główny layout tak, by pokazał czy i jako kto jesteśmy zalogowani:

<jsec:isLoggedIn>
    <div>Witaj <jsec:principal/>! (<g:link controller="auth" action="signOut">Wyloguj</g:link>)</div>
</jsec:isLoggedIn>

I tu właśnie przydała nam się metoda toString() klasy User, albowiem znacznik jsec:principial zwróci nam właśnie wartość obiektu, który przedstawia zalogowanego aktualnie użytkownika (to, co zwróciła metoda authenticate() klasy MyDbRealm), a ten reprezentowany jest właśnie przez toString().
Tag jsec:isLoggedIn wraz z zawartością umieszczamy np. nad użyciem znacznika g:layoutBody. Dla chcących potestować inne tagi dostarczane przez wtyczkę polecam lekturę ich listy.

Gotowe, aplikacja zabezpieczona, a my możemy spać spokojnie :)

I na koniec, dwa linki, jako uzupełnienie tematu zabezpieczania aplikacji Grails z JSecurity:

• http://tramuntanal.wikidot.com/jsecurityplugin
• http://asrijaffar.blogspot.com/2008/08/grails-jsecurity-plugin.html
]]> http://xis.schowek.net/2009/03/15/proste-uwierzytelnianie-w-grails-z-jsecurity/feed/ 4