Безопасная работа с данными в многопользовательском WEB-приложении?

Question

[levap]

Имеется многопользовательское веб-приложение на базе Spring, работающее с базой данных. Аутентификация и авторизация пользователей производится через Spring-Security. С базой работаю через JDBC.


Возьмем простую ситуацию — редактирование некой сущности. Для этого в параметрах запроса передаем контроллеру идентификатор этой сущности, подгружаем ее из БД, заполняем форму, редактируем и обновляем в БД.


Вопрос заключается в том, как правильно обеспечить безопасность этой операции, т.е. проконтролировать принадлежность сущности текущему пользователю? Существует ли на этот счет какой-то стандартный паттерн для Спринга?


Сейчас в каждой реализации DAO при выборке сущности передаю помимо ключа имя пользователя (получаемого через principal.getName()) и в sql-запросе контролирую принадлежность. Типа такого:

public void updateGroup(GroupEntity group, String user) {
		jdbcTemplate.update("UPDATE groups SET password = ?, name = ? WHERE group_id = ? AND user_id = ?", 
				group.getPassword(), group.getName(), group.getId(), user);
}

При отдалении целевой сущности от таблицы, содержащей пользователей, приходится писать все более изощренные запросы. Может быть есть более правильный путь?

Answer 1

[Сергей Сидоров]

Все можно разрулить через Spring Security. Через Method Security Expressions. В базе у каждой записи должен быть owner_id — внешний ключ на владельца. Код из приведенного вами примера выглядел бы как то так:

@PreAuthorize("#group.owner == authentication.name")
public void updateGroup(GroupEntity group) {
    //
}

Возможны и более сложные варианты.

Comments

[levap]

Спасибо за идею, возможно это самый простой способ. Но я бы с удовольствием и про более сложные варианты услышал :)

[Сергей Сидоров]

Под сложными вариантами я имел ввиду более сложные выражения в аннотации и использование permissions. Подробно можно почитать в референсах по Spring Security. Если будут вопросы — пишите в личку, обязательно отвечу.

Answer 2

[sergei-grigorev]

Как вариант — использовать отдельные namespaces, тогда сущности не будут доступны посторонним пользователям даже на чтение (используя уязвимости системы, где вы забудете поставить фильтр по пользователю). Тогда будет что-то вроде

public void updateGroup(GroupEntity group, String usernamespace) {
        jdbcTemplate.update("UPDATE " + usernamespace + ".groups SET password = ?, name = ? WHERE group_id = ?", 
                group.getPassword(), group.getName(), group.getId());
}
<source>

Comments

[levap]

В качестве БД использую PostgreSQL. Правильно ли я понимаю, что в этом случае надо под каждого пользователя создавать свою схему со всеми необходимыми таблицами? А если пользователей тысяча? И регистрация автоматизированная… Или я неправильно понял суть namespaces?

[sergei-grigorev]

Правильно поняли, смысл примерно такой же. Все необходимые таблицы для каждого пользователя отдельно. Нужны скрипты чтобы автоматически создать копию default namespace для конкретного пользователя.

[sergei-grigorev]

Если не хочется создавать отдельные namespace, то можно попробовать извратиться с view, например для каждого пользователя свои view для всех операций доступа. А на таблицы вешать partitions, чтобы они могли физически располагаться отдельно, что должно увеличить время доступа при наличии нескольких тысяч пользователей и нескольких миллионов записей в самих таблицах