0

  • 短篇小说:我正在考虑将此操作授予所有消费者。安全方面,那会有多愚蠢?

  • 很长的故事 :

我想使用 OpenCmis API 在给定的 Alfresco 资源上获取用户允许的操作。

这样,我将决定我应该启用或渲染哪些 UI 控件。我创建了一个函数,用于扫描用户对该资源的允许操作并检查给定的操作是否在其中,例如 CAN_CHECK_OUT 或 CAN_GET_CONTENT_STREAM。

我的功能是这样的:

private static Boolean canUserPerformAction_(Session cmisSession, String cmisObjId, String actionKey){

    try{
        OperationContext operationContext = new OperationContextImpl();
        operationContext.setIncludeAcls(true);
        CmisObject obj = getResourceById(cmisSession, cmisObjId);

        obj = (CmisObject)cmisSession.getObject(obj, operationContext);

        Acl acl = obj.getAcl();
        AllowableActions actions = obj.getAllowableActions();
        Set<Action> allowedActions = actions.getAllowableActions();


        for(Action act :allowedActions){
            if(actionKey.equals( act.name() ) ){
                return true;
            }
        }
    }catch (Exception e){
        log.debug("Error accessing Object allowed actions | "+e.toString());
    }
    return false;
}

但是此方法为具有消费者/读取角色的用户返回假否定。我花了一些时间才意识到 ActionCAN_GET_ACL是为角色cmis:all和绑定的base.ReadPermissions,所以消费者根本无法获取 ACL,所以我的方法将创建一个空的“allowedActions”数组。查看 cmis:mapping 我可以看到:

<cmis:mapping>
          <cmis:key>canGetACL.Object</cmis:key>
          <cmis:permission>cmis:all</cmis:permission>
          <cmis:permission>{http://www.alfresco.org/model/system/1.0}base.ReadPermissions</cmis:permission>
        </cmis:mapping>

一个明显的解决方案是base.ReadPermissions在公司主页上启用所有用户。但我不确定这是否是解决这个问题的最佳方法,也许我正在打开一些安全漏洞。那会是一个好的解决方案吗?

或者也许我应该找到另一种检查权限的方法?有什么建议么?

感谢您的时间 !

4

1 回答 1

1

我不确定这是否是您的意思,但是为什么需要对象的 ACLS?

您想要启用/禁用操作,因此如果您可以获得 Allowable Actions 就足够了。为什么您甚至想查看用户/组 x 是否对某个对象具有权限?

如果您查看Allowable Actions CMIS API的可能结果,那么您需要知道的一切。还在operationContext中将include Actions设置为 true)

如果您想知道对象的权限以及除了启用/禁用操作之外的其他操作,请使用管理员帐户检查权限并与当前用户进行交叉检查。

其次:我认为启用权限不会造成伤害,但从长远来看,关于升级等。我不会更改默认权限。然后,我将创建一个具有此权限的自定义权限组,并将其应用于顶层的 EVERYONE 组。

于 2013-12-10T12:20:24.370 回答