使用JBoss jBPM實現(xiàn)流程訪問和執(zhí)行的授權(quán)
當(dāng)今常見的BPM趨勢是集中化整個公司或公司內(nèi)大部門的BPM執(zhí)行。這意味著,單個BPM服務(wù)器(集群)運行著整個公司的許多流程定義。這種方式的挑戰(zhàn)在 于,雖然BPM引擎(包括jBPM)提供了對于任務(wù)訪問的授權(quán),但它們一般都不支持這些功能的授權(quán):流程定義的查看和刪除,流程實例的啟動、結(jié)束、查看和刪除等。在這篇文章中,我們將描述如何對jBPM引擎進行擴展 (基于jBPM 4.3)來實現(xiàn)這一功能。
整體實現(xiàn)方法
整個實現(xiàn)方式相當(dāng)直接了當(dāng)——對于每個流程定義引入一組可以授權(quán)的用戶/用戶組(類似任務(wù)定義),作用于定義、實例和給定流程的歷史。此外,我們還想對給 定的用戶/用戶組支持多重授權(quán)級別——目前我們打算引入2個角色:“starter”和“user”。這里的“starter”是允許對流程定義/實例 /歷史進行任何操作的角色,而“user”角色的權(quán)限僅限于查詢流程/歷史。
這種方式的實現(xiàn)需要對jBPM進行以下改造:
◆流程定義:
給流程定義增加流程訪問權(quán)限
◆流程部署:
擴展當(dāng)前的流程部署器,增加流程授權(quán)定義的解析和流程訪問列表的生成
引入額外的類/數(shù)據(jù)庫表,存放每個流程定義的訪問權(quán)限
◆流程執(zhí)行(Execution)
引入已授權(quán)命令(authorized command)——要求用戶經(jīng)過授權(quán)才能執(zhí)行的命令
修改現(xiàn)有的jBPM中我們期望基于當(dāng)前用戶證書進行授權(quán)的部分。這包括啟動、結(jié)束和刪除流程實例,以及刪除部署定義。
修改現(xiàn)有的jBPM查詢,考慮現(xiàn)有用戶的證書。這包括部署和流程定義查詢、流程實例查詢,以及歷史流程實例、活動和細(xì)節(jié)的查詢。
除了以上更改,我們還想擴展流程實例查詢,好讓用戶可以通過指定某些流程變量的值來縮小查詢結(jié)果。這種搜索的一個常見情況就是查詢“由我啟動的”流程。為 了確保這種查詢總是可用,我們更改了啟動流程實例命令的實現(xiàn),顯式地把當(dāng)前用戶ID加到了流程變量值的集合中。
最后,為了支持多種用戶認(rèn)證方法,我們實現(xiàn)了一個自定義的身份會話,它支持用程序來設(shè)置和訪問當(dāng)前用戶的證書。其目的在于,把用戶證書(ID和參與的組) 的獲得和jBPM運行時對這種信息的使用分離開來。
我們的實現(xiàn)利用了非常強大和靈活的jBPM 4的配置機制,它讓我們可以:
通過擴展現(xiàn)有jBPM類,最小化了自定義代碼的數(shù)量,只實現(xiàn)我們擴展所需的額外功能
將我們的擴展實現(xiàn)成可以與jBPM 4類庫一起使用的單獨jar包,無需對現(xiàn)有庫進行任何改變。
在深入我們的實現(xiàn)細(xì)節(jié)之前,我們首先要討論一下我們大量使用的jBPM 4的配置。
#p#
jBPM 4的配置機制
jBPM的基礎(chǔ)是流程虛擬機(PVM)[2],它建立在自定義的依賴注入實現(xiàn)之上。依賴注入由非常強大的、基于XML的配置機制控制,這種機制用于創(chuàng)建標(biāo)簽和預(yù)定義接口相關(guān)的特定實現(xiàn)之間的綁定 (binding)。
這種機制的核心是jbpm.wire.bindings.xml文件,它描述了[3] jBPM PVM的主要組件,包括:
◆基本類型
◆對象及引用
◆環(huán)境引用
◆Hibernate綁定
◆會話
◆服務(wù)
◆部署器
◆攔截器
◆等
該文件是jBPM分發(fā)包的一部分。如果用戶想增加自己的綁定(binding),他可以創(chuàng)建jbpm.user.wire.bindings.xml描述 它們,而不用修改jbpm.wire.bindings.xml文件。
這兩個文件會被jBPM PVM在啟動時讀入并解析,為定義在jbpm.cfg.xml中的基礎(chǔ)PVM執(zhí)行(execution)配置而服務(wù)。jbpm.cfg.xml一般會包含 多個部分,描述了PVM執(zhí)行的特定組件的配置。
jBPM PVM由一組提供PVM功能的服務(wù)組成[4]。主要的PVM服務(wù)包括:
◆倉儲服務(wù),提供一組查看和管理部署倉儲的方法
◆執(zhí)行服務(wù),提供一組查看和管理運行中流程執(zhí)行(execution)的方 法。
◆管理服務(wù),提供一組查看和管理工作(job)的方法
◆任務(wù)服務(wù),提供一組查看和管理用戶任務(wù)(task)的方法。
◆歷史服務(wù),提供一組訪問運行中和已完成流程執(zhí)行的歷史信息的方法。
這組可用服務(wù)和實現(xiàn)這些服務(wù)的類(使用前面說的綁定)被配置成流程引擎的上下文。
服務(wù)執(zhí)行被實現(xiàn)成一組命令(command),它們作為服務(wù)方法執(zhí)行的一部分被調(diào)用。命令的實際執(zhí)行由命令服務(wù)控制。
命令服務(wù)在命令服務(wù)上下文中被配置成一組攔截器,實現(xiàn)橫切關(guān)注點,環(huán)繞(around)命令調(diào)用(命令執(zhí)行管線)。缺省的jBPM分發(fā)包在命令執(zhí)行管線中 攜帶了以下攔截器:
◆重試(Retry)攔截器負(fù)責(zé)重試命令執(zhí)行
◆環(huán)境(Environment)攔截器負(fù)責(zé)在必要時把jBPM上下文注入命 令執(zhí)行中
◆事務(wù)(Transaction)攔截器負(fù)責(zé)介入命令調(diào)用的事務(wù)邊界劃分。
攔截器是將jBPM移植到不同環(huán)境以及引入其他橫切關(guān)注點的核心機制。
命令執(zhí)行一般會利用環(huán)境,它也是可配置的。典型的環(huán)境組件有:
◆倉儲會話
◆DB會話
◆消息會話
◆定時器會話
◆歷史會話
◆郵件會話
可以添加其他會話來擴展PVM的功能。
最后,部署管理器配置允許指定一組部署器,它們依次執(zhí)行,把業(yè)務(wù)流程部署到PVM。這種方法使得擴展流程定義可以通過實現(xiàn)額外的部署步驟完成,無需覆蓋 jBPM分發(fā)包自帶的部署器。
整個PVM的架構(gòu)如圖1示:
圖 1 PVM架構(gòu)
#p#
在流程定義中引入授權(quán)
我們在圖2中看到,可以給流程定義添加任意屬性。利用這種擴展選項,我們現(xiàn)在定義以下流程屬性,描述授權(quán)策略:
◆starter-users,具有“starter”角色的用戶列表
◆starter-groups,具有 “starter”角色的組列表
◆user-users,具有“user”角色的用戶列表
◆user-groups,具 有“user”角色的組列表
每個屬性的值是逗號分隔的組/用戶id列表。
圖 2 流程定義模式
此外,我們還定義了一個特殊的用戶類型——“any”和兩個用戶組——“all”和“admin”。任何用戶,不論其真實ID是什么,都是“any”用 戶。任何組,不論其ID是什么,也都是“all”。最后,“admin”組的成員被認(rèn)為是任意組的成員。
流程授權(quán)定義由以下規(guī)則驅(qū)動:
◆如果user-users和user-groups都未被指定,則user-users=”all”
◆如果 starter-users和starte-groups都未被指定,則流程用戶被額外地分配“starter”角色。
按照這個規(guī)則,清單1中的流程可以被任何人啟動和使用。
- <process package="com.navteq.jbpm"
- key="NO_AUTHORIZATION"
- name="Test Authorization not required"
- version="1"
- xmlns="http://jbpm.org/4.0/jpdl">
- <start g="68,14,48,48" name="start">
- <transition to="end"/>
- </start>
- <end g="78,383,48,48" name="end"/>
- </process>
清單 1 沒有授權(quán)信息的流程定義
清單2的流程可以被mark或tomcat組中的任何人使用和啟動。
- <process package="com.navteq.jbpm"
- key="AUTHORIZATION"
- name="Test Authorization Required"
- version="1"
- xmlns="http://jbpm.org/4.0/jpdl"
- user-users="mark"
- user-groups="tomcat">
- <start g="68,14,48,48" name="start" >
- <transition to="end"/>
- </start>
- <end g="78,383,48,48" name="end"/>
- </process>
清單 2 具有用戶授權(quán)信息的流程定義
我們引入了一個新類——ACL,針對給定流程 (processDefinitionID,processDefinitionKey,DeploymentID),它包含一個單獨的訪問列表(用戶或 組,以及類型);同時還引入了相應(yīng)的Hibernate定義。
圖3中,清單1的流程部署為具有兩個角色(“user”和“starter”)的用戶“any”創(chuàng)建了2個ACL;而在圖4中,清單2的流程部署將創(chuàng)建4 個——用戶“mark”和組“tomcat”,每個都具有2個角色:“user”和“starter”。
圖 3 無授權(quán)信息的流程的ACL
圖 4 有用戶授權(quán)信息的流程的ACL
這些ACL的生成是通過引入額外的部署器完成的,它將在“標(biāo)準(zhǔn)”jBPM部署器之后運行,抽取上面描述的授權(quán)屬性,為給定流程構(gòu)建ACL。
#p#
保護jBPM命令
我們采用了一種通用的方法來保護jBPM命令,包括實現(xiàn)用于定義命令所需授權(quán)信息的自定義的注解,以及處理這個注解的自定義的授權(quán)會話(命令攔截器)實現(xiàn)。
授權(quán)注解(清單3)可以指定所需的用戶角色和表示某個流程的方法。
- @Retention(value=RetentionPolicy.RUNTIME)
- @Target(value=ElementType.METHOD)
- public @interface AuthorizedCommand {
- /** Access type */
- public String role();
- String key();
- }
清單 3 授權(quán)注解
對于某個流程,用戶角色——“starter”或“user”——指向某個用戶應(yīng)該擁有的角色[6]。由于不同命令既可以引用部署ID,也可以引用流程ID或者流程鍵值,因此注解支持多種指定鍵值的方式,允許將合適的引用指定為鍵值。
清單4的授權(quán)攔截器檢查是否有命令的方法被授權(quán)注解修飾。如果有,則執(zhí)行適當(dāng)?shù)牟樵儯_定出哪些用戶和用戶組集合被授權(quán)給了這個命令,然后檢查當(dāng)前用戶是 否屬于他們。
- …………
- @SuppressWarnings("unchecked")
- public void checkPermission(Command<?> command, EnvironmentImpl environment) {
- environment.setAuthenticatedUserId(environment.get(AuthorizationIdentitySession.class).getAuthenticatedUserId());
- for( Method method : command.getClass().getMethods()) {
- AuthorizedCommand sc = method.getAnnotation(AuthorizedCommand.class);
- if(sc != null){
- log.debug("Checking Class based Secured Function");
- String ID = environment.get(AuthorizationIdentitySession.class).getAuthenticatedUserId();
- Object value = null;
- try {
- log.debug("Checking authorization: " + command.getClass().getName());
- Session session = environment.get(SessionImpl.class);
- value = method.invoke(command, (Object[])null);
- Query uQ = session.createQuery(userQuery.get(sc.key())).
- setString("role", sc.role()).setString("value",(String) value);
- Query gQ = session.createQuery(groupQuery.get(sc.key())).
- setString("role", sc.role()).setString("value", (String) value);
- List<String> userIds = (List<String>)uQ.list();
- List<String> groups = (List<String>)gQ.list();
- if(!isAuthorized(environment, userIds, groups))
- throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);
- } catch (IllegalArgumentException e) {
- log.error("Caught " + IllegalArgumentException.class, e);
- throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);
- } catch (IllegalAccessException e) {
- log.error("Caught " + IllegalAccessException.class, e);
- throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);
- } catch (InvocationTargetException e) {
- log.error("Caught " + InvocationTargetException.class, e);
- throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);
- }
- }
- }
- return;
- }
- ……………………
- public boolean isAuthorized(EnvironmentImpl env, List<String> authorizedUserIds, List<String> authorizedGroupIds) {
- AuthorizationIdentitySession identitySession = env.get(AuthorizationIdentitySession.class);
- if (authorizedUserIds.contains(AuthorizationIdentitySession.ANONYMOUS_USER_ID))
- return true;
- if (authorizedUserIds.contains(identitySession.getAuthenticatedUserId()) )
- return true;
- //check if any of userGroups is an authorized group. if so then return true
- List<Group> groups = identitySession.findGroupsByUser(identitySession.getAuthenticatedUserId());
- for(Group group : groups){
- String g = group.getId();
- //admin is allowed to execute any command
- if(g.equals(AuthorizationIdentitySession.ADMINISTRATORS_GROUP))
- return true;
- if(authorizedGroupIds.contains(g))
- return true;
- }
- return false;
- }
清單 4 授權(quán)攔截器
為了保護命令實現(xiàn),我們創(chuàng)建了一個新類,它擴展了現(xiàn)有的命令,增加了一個帶注解的方法(清單5),返回給定命令可用的鍵值。
- @AuthorizedCommand(role = ACL.STARTER, key = NavteqAuthorizationSession.PROCESSID)
- public String getProcessDefinitionKey() {
- return processDefinitionId;
- }
清單 5 給啟動流程實例命令引入授權(quán)信息
根據(jù)所提議的方法,我們對下列命令進行了注解:
◆刪除部署
◆啟動流程實例
◆啟動最近的流程實例
◆結(jié)束流程實例
◆刪除流程實例
#p#
擴展查詢
引入授權(quán)意味著查詢結(jié)果應(yīng)該只返回用戶被授權(quán)查看的信息[7]。這可以通過擴展現(xiàn)有查詢的where語句實現(xiàn)(清單6)。
- //check authorization
- String userId = EnvironmentImpl.getCurrent().getAuthenticatedUserId();
- List<Group> userGroups = EnvironmentImpl.getCurrent().get(IdentitySession.class).findGroupsByUser(userId);
- hql.append(", " + ACL.class.getName() + " as acl ");
- appendWhereClause("acl.deployment=deployment and acl.type='" +
- ACL.STARTER +
- "' ", hql);
- appendWhereClause("((acl.userId in " +
- Utils.createHqlUserString(userId) +
- ") or " +
- "(acl.groupId in " +
- Utils.createHqlGroupString(userGroups) + "))
- ", hql);
清單 6 為流程定義查詢提供授權(quán)支持的額外where語句
額外的where語句是通過擴展現(xiàn)有查詢實現(xiàn)和覆蓋hlq方法實現(xiàn)的。
按照這種方法,擴展了以下查詢:
◆部署查詢
◆流程定義查詢
◆流程實例查詢
◆歷史流程實例查詢
◆歷史活動 查詢
◆歷史細(xì)節(jié)查詢
為了能夠增加字符串實例變量,以縮小查詢結(jié)果,我們還額外擴展了一個流程實例查詢。
#p#
支持多種用戶管理方式
以上給出的實現(xiàn)依賴使用執(zhí)行環(huán)境來獲得當(dāng)前用戶ID和使用IdentitySession來獲得用戶組成員關(guān)系。jBPM分發(fā)包提供了這個接口的2個實現(xiàn):
◆IdentitySessionImpl,基于jBPM的用戶/組數(shù)據(jù)庫
◆JBossIdmIdentitySessionImpl, 基于JBoss Identity IDM組件
不同于大量依賴其他技術(shù)的實現(xiàn),對于我們的實現(xiàn),我們決定把用戶ID/組的獲取同這些信息的保存分離開來,使之可以被其他的jBPM實現(xiàn)利用(圖5)。
圖 5 用戶管理實現(xiàn)
為了確保在設(shè)定和重新設(shè)定用戶證書的時候環(huán)境是可用的,我們把這兩個操作實現(xiàn)成了命令(清單7),這樣,借助jBPM命令執(zhí)行服務(wù)就可以正確設(shè)置執(zhí)行環(huán)境。
- public static class SetPrincipalCommand extends AbstractCommand<Void> {
- private static final long serialVersionUID = 1L;
- private String userId;
- private String[] groups;
- public SetPrincipalCommand(String u, String...groups) {
- this.userId=u; this.groups=groups;
- }
- public Void execute(Environment environment) throws Exception {
- environment.get(AuthorizationIdentitySession.class).setPrincipal(userId,groups);
- return null;
- }
- }
- public static class ResetPrincipalCommand extends AbstractCommand<Void> {
- private static final long serialVersionUID = 1L;
- public Void execute(Environment environment) throws Exception {
- environment.get(AuthorizationIdentitySession.class).reset();
- return null;
- }
- }
清單 7 設(shè)置用戶證書命令
#p#
把新命令和查詢引入到j(luò)BPM執(zhí)行中
由于jBPM并沒有提供任何配置“命令——服務(wù)”關(guān)系的支持,為了能改變給定服務(wù)中的命令,就必須使用調(diào)用新命令的新服務(wù)實現(xiàn)覆蓋舊實現(xiàn)。清單8給出了一個使用新命令服務(wù)覆蓋歷史服務(wù)的例子。
- public class NavteqHistoryServiceImpl extends HistoryServiceImpl {
- @Override
- public HistoryActivityInstanceQuery createHistoryActivityInstanceQuery() {
- return new AuthorizedHistoryActivityInstanceQueryImpl(commandService);
- }
- @Override
- public HistoryDetailQuery createHistoryDetailQuery() {
- return new AuthorizedHistoryDetailQueryImpl(commandService);
- }
- @Override
- public HistoryProcessInstanceQuery createHistoryProcessInstanceQuery() {
- return newAuthorizedHistoryProcessInstanceQuery(commandService);
- }
- }
清單 8 在歷史服務(wù)中引入授權(quán)命令
總結(jié)
本文給出的這部分實現(xiàn)[8]并沒有擴展JPDL,而是擴展了被jBPM支持的所有語言都使用的JBoss PVM[9]。結(jié)果是,這些語言都能夠使用這個實現(xiàn)。
致謝
我要感謝NAVTEQ的同事,尤其是Mark Kedzierski和我一起討論了整個設(shè)計和大部分代碼的實現(xiàn),以及Stefan Balkowec、Vlad Zhukov、Eugine Felds和Catalin Capota在定義整個解決方案中的幫助。
【編輯推薦】
- jBPM應(yīng)用開發(fā)指南
- jBPM實現(xiàn)高級交互模式詳解
- Java工作流管理系統(tǒng)jBPM 4.3發(fā)布 支持BPMN 2.0
- jBPM4.1發(fā)布 改進多項Tomcat支持
- 淺談jBPM4與Spring整合的2種方式
