SQL 客户端权限管理器
我们提供了 AuthenticationProvider
和 AuthorizationProvider
的实现类,
他们使用 SqlClient
来对SQL规范的数据库实现鉴权与授权。
要使用这个项目,请加入如下依赖:
-
Maven (在您的
pom.xml
文件):
<dependency>
<groupId>io.vertx</groupId>
<artifactId>vertx-auth-sql-client</artifactId>
<version>4.3.8</version>
</dependency>
-
Gradle (在您的
build.gradle
文件):
compile 'io.vertx:vertx-auth-sql-client:4.3.8'
要创建一个权限管理器对象,您首先需要一个 SqlClient
对象。
要学习如何创建一个 SqlClient ,请查阅 SQL Client 的文档。
当您已拥有一个SqlClient,那么您可以按如下所示来创建 SqlAuthentication
:
SqlAuthenticationOptions options = new SqlAuthenticationOptions();
// SQL Client可以是已知的任何SQL数据库的实现
// *. Postgres
// *. MySQL
// *. etc...
AuthenticationProvider authenticationProvider =
SqlAuthentication.create(sqlClient, options);
一旦您获取到了自己的 SqlAuthentication 对象,您就可以用它来做鉴权和授权(犹如任意一个 AuthenticationProvider
一样)。
我们假设开箱即用的配置对于鉴权与授权做出了某种查询,
如果您想在不同的数据库schema之下来查询,那么您可以用 setAuthenticationQuery
,
setPermissionsQuery
和
setRolesQuery
操作做出变化。
基本的数据存储的定义看上去应该类似:
--
-- Take this script with a grain of salt and adapt it to your RDBMS
--
CREATE TABLE users (
username VARCHAR(255) NOT NULL,
password VARCHAR(255) NOT NULL
);
CREATE TABLE users_roles (
username VARCHAR(255) NOT NULL,
role VARCHAR(255) NOT NULL
);
CREATE TABLE roles_perms (
role VARCHAR(255) NOT NULL,
perm VARCHAR(255) NOT NULL
);
ALTER TABLE users ADD CONSTRAINT pk_username PRIMARY KEY (username);
ALTER TABLE users_roles ADD CONSTRAINT pk_users_roles PRIMARY KEY (username, role);
ALTER TABLE roles_perms ADD CONSTRAINT pk_roles_perms PRIMARY KEY (role, perm);
ALTER TABLE users_roles ADD CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users(username);
散列策略
权限管理器用 phc sf spec 来计算密码的散列值。
警告
|
如果您已经有了一个正在运行中的旧应用,更换散列策略会影响到您原有的密码。 新密码的格式并不会与其兼容。为了达到升级的目的, 那么您需要请用户来重置密码并适当的更新其数据记录。 |
警告
|
我们也推荐您将密码作为散列值存入数据库表当中,在该表中的数据同时也拥有 salt 作为字段存储。
您应该使用安全性强的哈希算法。
强烈不推荐密码明文存入数据库。
|
Vertx Auth SQL Client 和 GDPR
GDPR是欧盟普通法中的一项法规。它重新定义了成员国的数据保护法或凌驾该法之上, 并扩展了先前已存在的法令。本节内容绝不是一个法规的概览, 而是对组件如何遵循要求做的小总结。 不遵守法规的公司可以按营业额的4%或2000万欧元处以罚款。 因此我们想要确保的是,您,作为 Vert.x Auth SQL Client 的用户,很好地遵守了该法规。
该法规定义如下术语:
-
Data Subject - 个人数据被使用并处理的人(例如:用户)
-
Personal Data - 一个人的任何信息(可识别的人或已确认的人)
-
Data Processing - 对于个人信息(即 Personal Data)的任何操作(手动或自动)
-
Controller - 请求和使用数据的实体(公司)
-
Processors - 代表Controller处理数据的任何实体(例如:云服务供应商)
GDPR 定义如下的功能:
-
"Forget me" - 清除数据的权利
-
将
概览(profile)
标记为受限资源 - 限制数据处理的权利 -
导出数据 - 数据的可移植权利
-
允许编辑
概览
- 重新授权的权利 -
查看自己的所有信息 - 访问权利
-
选中复选框
-
年龄检查
-
资料销毁 - 数据最小化原则
本模块遵循GDPR法律,它不存储任何数据对象的可识别信息。 唯一的标识就是不关联任何私人信息的用户名(username)。
为了在您的应用中加入个人信息,您应该创建您自己的数据表,并关联用户名字段, 这里提示一下,您应该有一个布尔类型的字段来标识个人信息是否访问受限, 以此来遵循处理数据时的法律限制:例如,向邮件列表中的邮箱批量发送邮件, 当某个邮箱用户的限制标识为true时,便不允许向他发送邮件。
删除数据的权利并不代表您必须清除您应用中所有的数据, 例如:在银行当中,这个权利不能用来清除贷款和债务信息。您可以保留应用中的数据,但是必须清除个人数据。 对于 Vert.x Auth SQL 场景,您应该删除您的表, 只要不将用户名和个人信息关联起来,那么您依旧可以保留对用户名的外键引用,
重要说明:这必须在备份中保留下来!作为提示,您应该备份数据,并保证数据备份在不同的数据库当中, 所以他们才能够独立地回滚。
将密码做哈希处理
类似于其他任何应用,您总有一天要将新用户的信息存到数据库当中。 正如您之前学到的那样,密码不是明文存到数据库中,而是按哈希策略做了哈希处理之后才存入数据库。 在新密码被存入数据库之前,必须要经过相同的哈希策略处理。这只需要3个步骤:
-
生成
salt
字符串 -
密码中加入salt并计算散列值
-
将计算结果存入数据库
String hash = sqlAuth.hash(
"pbkdf2", // hashing algorithm (OWASP recommended)
VertxContextPRNG.current().nextString(32), // secure random salt
"sausages" // password
);
// save to the database
sqlClient
.preparedQuery("INSERT INTO users (username, password) VALUES ($1, $2)")
.execute(Tuple.of("tim", hash))
.onSuccess(rowset -> {
// password updated
});
鉴权/身份验证
使用此实现进行身份验证时,
假定身份验证信息中存在 用户名(username)
和 密码(password)
字段:
JsonObject authInfo = new JsonObject()
.put("username", "tim")
.put("password", "sausages");
authProvider.authenticate(authInfo)
.onSuccess(user -> System.out.println("User: " + user.principal()))
.onFailure(err -> {
// Failed!
});
授权:权限-角色 模型
Vert.x auth 自身不对任何权限(一些晦涩的字符串)的模型进行授权, 这个实现假设了一个常见的 用户/角色/权限 的模型,一个用户可以没有角色,也可以有多个角色, 一个角色可以没有权限,也可以有多个权限。
如果要鉴别一个用户是否有某权限,那么就按如下将用户权限和所给权限做对比:
sqlAuthZ.getAuthorizations(user)
.onSuccess(v -> {
if (PermissionBasedAuthorization.create("commit_code").match(user)) {
// Has permission!
}
});