Also: Soll man Security einfach ignorieren? Nein, man sollte es nur am Ende beachten. Dass ist auch nicht mehr Aufwand, wenn man die richtigen Tools hat. Meistens ist es sogar weniger Aufwand, man kann die Anwendungen ohne Security testen und man muss sie nicht ständig mit ändern.
Wie bekomme ich es hin, den Code im Nachhinein zu ändern? Eine Möglichkeit ist AspectJ, dass es mir ermöglicht Security als Aspekt zum Code hinzuzufügen. Außerdem ist dann die Security im Byte-Code enthalten, man kann sie nicht einfach abschalten. Allerdings benötigt man etwas Einarbeitung. Eine andere Lösung ist Spring AOP, dass mir im wesentlichen dieselben Möglichkeiten wie AspectJ bietet. Dann hat man allerdings keine Compile-Time-Security, die Sicherheit wird erst zu Laufzeit eingefügt.
Als vorbereitetes Framework auf dieser Basis gibt es Spring Security (Acegi), dass bereits eine Aspekt-orientierte Security-Lösung implementiert. Spring Security funktioniert mit Spring AOP und AspectJ. Fehlt nur noch das Testen - hier kann man Tests mit JUnit und Fit implementieren.
Wie bekommt man Security Last jetzt hin? Zunächst benötigt man für die Authentifizierung des Benutzer - den bekommt man bei Spring Security über den SecurityContextHolder. Dort kann man auch die Authentifizerung ablegen. Der wird dann am Thread gehalten, kann an die Child-Threads vererbt werden, in einer Umgebungsvariable liegen, in der HTTP-Session gespeichert sein usw. - das ist konfigurierbar. Damit man die Authentifizierung wirklich vornehmen kann, muss man einen AuthenticationManager nutzen, der die Authentifizierungs-Informationen überprüft. Dabei kann man unterschiedliche Authentifizierungs-Verfahren nutzen und man muss dazu nur noch einen Provider für die jeweilige Authentifizierungs-Technologie hinzufügen.
Bei der Authorisierung muss man im klassischen Modell in jeder Methode die Rollen überprüfen - was aufwändig ist, vergessen werden kann und Wissen über die Rollen voraussetzt. Mit Security Last schreibt man solchen Code nicht und hat dadurch die Probleme nicht mehr. Dazu nutzt man einen Servlet Filter für die URLs oder einen AOP Interceptor, der die Methoden-Aufrufe abfängt und die Security bearbeitet. Dort kann man dann definieren, welche URLs oder Methoden von einer bestimmten Rollen aufgerufen werden können - logischerweise in der Spring-Konfiguration. Oder man schreibt passende Annotationen.
Im Gegensatz zu sonstigen Ansätzen zeigt Mike dann, dass man in den Annotationen oder der Konfiguration Rechte konfigurieren sollte und keine Rollen. Dadurch hat man den Vorteil, dass der Code nur Rechte kennt und keine Rollen - dadurch ist man flexibler. Wenn es neue Rollen gibt oder eine Rolle neue Rechte bekommt - auch zur Laufzeit - muss man einfach nur irgendwo ein Eintrag ändern, aber den Code nicht anfassen.
Ein weiteres Problem ist, dass man dynamische Rechte haben muss: Nur bestimmte Nutzer dürfen bestimmte Datensätze bearbeiten. Dazu kann man mit Spring Security auch nutzen, indem man den Zugriff über ACLs löst und diese ACLs ad-hoc anhand der Eigenschaften der Objekte berechnet. Das bedeutet auch, dass es eine Defense-In-Depth gibt, d.h. im System selber gibt es noch Verteidigungs-Linien zum Beispiel an den DAO-Schnittstellen. Wenn man es nun schafft, per SQL-Injection Datensätze auszulesen, auf die man keinen Zugriff hat, wird durch Spring Security die Ergebnisse trotzdem verworfen.
Bei Tests kann man durch diese Separierung den Business-Code ohne Security testen und die Security ohne den Business-Code. Und zwar recht einfach: Für die Tests der Geschäftslogik kann man die Security als Aspekt deaktivieren. Für Security-Tests ersetzt man die Logik durch eine einfache Variante, die keine echte Funktionalität hat. Mit Fit kann man die Tests einfach als Word-Dokumente schreiben und dann ausführen lassen.
Fazit: Security Last ist technisch machbar - und dabei wird es auch leichter testbar und leichter änderbar.
Labels: Acegi, Mike Wiesner, Spring Security, WJAX
¶ 14:55
