jBPM jPDL 用户开发手册 3.2.3 - 第22章

第22章 安全

jBPM的安全属性还处于alpha阶段。本章归档了可插拨的认证和授权。那么框架的什么内容完成了，什么部分没有还完成呢。

22.1. 要做的事

在框架部分上，我们仍然需要在流程正在被执行时通过jbpm引擎定义一系列的被校验的权限。当前你能检查你自己的权限，但仍没有一个jbpm缺省权限的设置。

只完成了一个缺省的认证实现。但预想了其他的认证实现。对于授权，预想了有许多的授权实现，但他们还没有做出来。

如果没有认证和授权，框架提供插入你自己的认证和授权的机制。

22.2. 认证

认证让流程了解代表谁的代码正在运行。假如jBPM的这个信息在jBPM环境中生效的话，将使jBPM总是执行在特定的环境中，如web应用、EJB、swing应用或一些其他的环境下，它总是让周围的环境来执行认证。

在一些情形下，jBPM需要知道谁正在运行代码。例如在流程日志中增加谁信息来知道谁什么时候在做什么。另一个例子是基于当前被认证的参与者进行参与者计算。

在每个情形下jBPM要知道谁正在运行代码，需要调用中心方法org.jbpm.security.Authentication.getAuthenticatedActorId()。那个方法将委托org.jbpm.security.authenticator.Authenticator的实现。通过指定一个认证器的实现，你可以配置jBPM如何从环境中检索当前认证的参与者。

缺省的认证器是org.jbpm.security.authenticator.JbpmDefaultAuthenticator。那个实现维护一个ThreadLocal的认证的actorId栈。认证的块能够使用方法JbpmDefaultAuthenticator.pushAuthenticatedActorId(String)和 JbpmDefaultAuthenticator.popAuthenticatedActorId()来标记。确定总是放这些界限在一个try-finally块中，对于认证器实现的入栈（push）和出栈（pop）方法，在基Authentication类中提供了方便的方法。JbpmDefaultAuthenticator维护一个sctorIds栈而不只是一个的actorId的原因是简单的：它允许jBPM代码去区分在代表用户执行的代码和代表jbpm引擎执行的代码。

查看javadocs获得更多的信息。

22.3. 授权

授权是确认是否一个认证的用户被允许去执行一个安全的操作。

jBPM引擎和用户代码可以核实是否一个用户被允许使用API方法org.jbpm.security.Authorization.checkPermission(Permission)去执行一个给定的操作。

Authorization类也将委托调用一个可配置的实现。对于不同策略的pluggin接口是org.jbpm.security.authorizer.Authorizer。在包org.jbpm.security.authorizer有一些显示认证器实现意图的例子。大多数是没有被完全实现而且他们也没有被测试。

另外仍然要去做的是通过jBPM引擎定义一系列的jBPM权限并校验那些权限。一个例子可以通过在TaskInstance.end()方法中调用Authorization.checkPermission(new TaskPermission("end", Long.toString(id)))方法校验当前已认证的用户有足够特权来结束一个任务。