Discussion :

[bilgetz]

Bonjour,
j'ai un problème pour faire un pointcut avec spring security.

J'ai une classe abstraite pour mes DAO, avec une interface abstraite également

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
public interface AbstractDAO<T> {
 
T  getById(final Serializable id);
List<T> getAll();
T create(T entity);
T update(T entity);
void delete (final Long id);
 
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
public class AbstractHibernateDAO<T> extends HibernateDaoSupport {
 
/** code des methode getbyId,getAll,create,update,delete **/
}

j'ai donc des DAO qui herite de tous ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
public interface compteDAO extends AbstractDAO<Compte> {
 
Compte getByEmail(final String email);
 
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
public class CompteDAOHibernate extends AbstractHibernateDAO<Compte> implements compteDAO  {
 
public final Compte getByEmail(final String email) {
 /** code **/
 
}
 
}

donc mon problème est pour faire le pointcut

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
<global-method-security acces-decision-manager-ref="accesDecisionManager" >
 
<!-- 1 -->
<protect-pointcut access="xxx" 
expression="execution( * com.xxx.dao.*.update(..)" />
 
<!-- 2 -->
<protect-pointcut access="xxx" 
expression="execution( * com.xxx.dao.CompteDAOHibernate.*(..)" />
 
 
<!-- 3 -->
<protect-pointcut access="xxx" 
expression="execution( * com.xxx.dao.AbstractHibernateDAO.*(..)" />
 
</global-method-security>

1. ne semble pas marcher. ( c'étais du pur test )
2. ne me pointcut que le getByEmail
3. me pointcut bien mon update, mais il va le faire pour toute les dao, donc avec le meme access.

je sent que le problème vient de l’héritage et/ou du type générique.
et j'aimerai bien pouvoir définir des access différent suivant mon DAO pour les méthode de create/update/delete.

La seul solution que je voit pour l'instant est que je crée mon propre voter et que je fasse le tri niveau code, mais j'aimerai bien éviter cela.
j'utilise Spring 3.0.5.RELEASE et Spring security 3.0.5.RELEASE

Il est possible que j'ai des faute de frappe dans le code, le PC ayant le source étant pas celui avec lequel je tape ce sujet.
(pourrai poster vrai code ce soir/demain si nécessaire ).

Merci d'avance pour votre aide.

[ray_fab]

Salut pourquoi tu utilises pas les annotations, si déjà tu utilises Spring 3.
Bon un truc que je trouve normal, tu fais un poincut comme ceci ....dao.*.update(..), toutes tes interfaces définissent la méthodes update donc c'est normal qu'à chaque fois tu utilises une interface qui hérite de ton interface mère, le pointcut est exécuter. Il suffit de préciser l'interface sur laquelle tu veux faire ta coupe.
Autre remarque, pourquoi avoir une Dao générique, comme tu l'as fait?La seule méthode générique ici à mon avis c'est la méthode getById, si tu change cette méthode comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

public <T> T  getById(Class<T> entityClass, final Serializable id);

Ton interface n'est plus générique mais seulement ses méthodes et elle devient comme ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
public interface AbstractDAO{
 
<T> T  getById(Class<T> entityClass, final Serializable id);
<T> List<T> getAll();
<T> T create(T entity);
<T> T update(T entity);
void delete (final Long id);

Au final tu n'as plus qu'une seule interface et une seule implémentation et tes pointcut vont fonctionner comme tu veux.

[bilgetz]

Salut pourquoi tu utilises pas les annotations, si déjà tu utilises Spring 3.

Je n'utilise pas les annotation pour la sécurité car je veut vraiment séparer la sécurité du reste de l'application.
J'estime que les DAO n'ont pas a s'occuper de la sécurité, donc je ne met rien dedans, même pas des annotations.
De plus comme les méthodes update/create/delete sont les même implémentation pour toute les DAO via l’héritage et que je veut un comportement différent suivant la DAO, ça colle pas trop avec les annotations.

Bon un truc que je trouve normal, tu fais un poincut comme ceci ....dao.*.update(..), toutes tes interfaces définissent la méthodes update donc c'est normal qu'à chaque fois tu utilises une interface qui hérite de ton interface mère, le pointcut est exécuter. Il suffit de préciser l'interface sur laquelle tu veux faire ta coupe.

en faite le :
<!-- 1 -->
<protect-pointcut access="xxx"
expression="execution( * com.xxx.dao.*.update(..)" />
ne me pointcut rien du tous.
si je met l'interface compteDAO , ca pointcut rien du tous.
bon après, on pointcut des classe, pas des interface, donc ça me semble logique.

si met la classe CompteDAOHibernate , ça pointcut pas update.
met si je met la classe AbstractHibernateDAO la ça pointcut, mais vue que c'est sur la classe mère, ce n'est plus spécifique au DAO que je veut.

Autre remarque, pourquoi avoir une Dao générique, comme tu l'as fait?La seule méthode générique ici à mon avis c'est la méthode getById, si tu change cette méthode comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

public <T> T  getById(Class<T> entityClass, final Serializable id);

Ton interface n'est plus générique mais seulement ses méthodes et elle devient comme ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
public interface AbstractDAO{
 
<T> T  getById(Class<T> entityClass, final Serializable id);
<T> List<T> getAll();
<T> T create(T entity);
<T> T update(T entity);
void delete (final Long id);

Au final tu n'as plus qu'une seule interface et une seule implémentation et tes pointcut vont fonctionner comme tu veux.

Une seul implémentation, ça veut dire même pointcut pour tous les DAO.

Je me suis peu être mal expliqué, mais j'aimerai un pointcut update pour CompteHibernateDAO , et un autre pour XxxHibernateDAO et peu être un autre pour YyyHibernateDAO.


Peu être est ce générique qui merde et je vais essayer de l'enlever comme tu me le montre.

[JeitEmgie]

J'estime que les DAO n'ont pas a s'occuper de la sécurité, donc je ne met rien dedans, même pas des annotations.

Alors, continuez votre raisonnement jusqu'au bout et gérez la sécurité basée sur les rôles au niveau de la couche Service.

[bilgetz]

Alors, continuez votre raisonnement jusqu'au bout et gérez la sécurité basée sur les rôles au niveau de la couche Service.

Sauf que ça répond pas a mes besoin de sécurité.
Avec une gestion juste avec des rôle, un utilisateur peut changer son compte.. et tous les autre comptes.
de plus un utilisateur peut être dans une équipe et un chef d’équipe peut modifie les objet de l'utilisateur.
On va me dire ACL, et je répondrai oui, c’est le principe que je veut mettre en place (mais sans utiliser celui de spring security a cause de surcharge de la base a cause des table en plus, mais je vous passerai les détails.
), mais le problème des pointcut reste le même.