1

我创建了一个小框架,为多个文件系统/API(即 Win32、Posix、NFS)提供统一的 API。所说的 API 有点类似于 Posix——要访问一个文件,您需要“打开”它,为预期目的(rwrw提供提示。类似的东西open_file("/abc/log.txt", access::rw)

由于 Win32 的“声明性”性质,在这个框架中支持 Win32 API 让我很头疼——您应该预先知道您计划在给定句柄上执行哪些操作并将相关的操作传递dwDesiredAccess给相关(Nt)CreateFile()调用。r/w/rw不幸的是,除了通用提示之外,框架不知道客户端将执行什么操作(即更改所有者、写入属性等) 。而且我不愿意让 Win32 概念泄漏到我的框架中(即我不喜欢dwDesiredAccess在我的open_file().

这是我尝试过的:

1. MAXIMUM_ALLOWED

想法:使用 MAXIMUM_ALLOWED 打开相关句柄——我将尽我所能,如果缺少某些权利,相关操作(例如set_mime())将简单地以access denied.

问题:

  • 它不适用于只读文件或卷((Nt)CreateFile()失败access denied
  • MSDN警告说,如果 FAT 卷上正在进行碎片整理 - 尝试以这种方式打开目录将失败
  • MAXIMUM_ALLOWED一般来说,由于某种原因似乎不赞成使用

2. 必要时重新打开对象

想法:代表所有需要额外访问权限的操作(例如requires r/w/rw)重新打开具有所需访问权限的对象。GENERIC_READGENERIC_WRITEdelete()DELETE

问题:

  • 重新打开对象并不便宜
  • 通过第二个对象所做的更改可以被静默覆盖,例如:
    • set_mtime()重新打开文件FILE_WRITE_ATTRIBUTES|SYNCHRONIZE
    • 调用NtSetInformationFile(... FileBasicInformation)更新元数据并关闭句柄
    • 后来原始句柄被关闭,它会导致数据刷新并静默覆盖ModifiedTime先前设置的set_mtime()

3.复制句柄而不是重新打开对象

想法:与上一节相同,但不是重新打开对象——复制原始句柄(要求新的访问权限):

HANDLE h;
HANDLE hp = GetCurrentProcess();
CHECK_WIN32( DuplicateHandle(hp, hFile, hp, &h, FILE_WRITE_ATTRIBUTES|SYNCHRONIZE, FALSE, 0) );

问题:

  • 每次我需要执行(非普通读/写)操作时复制(和关闭)文件句柄似乎过多且有些昂贵
  • DuplicateHandle() 文档警告(未提供任何详细信息)要求额外访问可能会失败。它在我检查过的所有用例中都运行良好(通常要求在打开的句柄上使用DELETE/之类的东西),但显然 Win32 API 不提供任何保证:-/FILE_WRITE_ATTRIBUTESGENERIC_READ

...否则方法似乎有效。

底线:

我正在寻找解决MAXIMUM_ALLOWED问题的方法。(或者对替代方法的建议,也许?)

4

1 回答 1

0

编辑:这是重新打开文件不是一个好主意的另一个原因。

没有办法MAXIMUM_ALLOWED可靠地使用——R/O 文件和卷会导致它出错。设计不佳的功能。

dwAccessRequired另一种方法是获得最小访问权限并根据需要“扩展”它(通过使用新标志重新打开文件)。这不起作用:

  • 如果您暂时打开文件,则通过新句柄所做的一些更改(例如mtime修改)将在稍后关闭原始句柄时被清除(并且底层内核对象将数据刷新到磁盘)

  • 如果您尝试用新句柄替换旧句柄,这意味着昂贵的刷新(在旧句柄关闭时)+ MT 同步,这意味着我无法有效地file从多个线程中使用我的对象(我知道现在由于FILE_SYNCHRONOUS_IO_NONALERT所有操作都是序列化的,但它会在短期内修复)

唉,DuplicateHandle()不能授予新的访问权限——所以这也无济于事。

基本上,我需要的只是一个线程安全的BOOL ExtendAccess(HANDLE h, DWORD dwAdditionalAccess)函数。看起来你甚至无法通过 NT API 获得它——只有在内核模式下才有可能。

幸运的是,这个框架总是在特权帐户下使用,这意味着我可以启用SE_BACKUP_NAME、使用FILE_OPEN_FOR_BACKUP_INTENT、过度请求访问(在只读卷的情况下具有最小的回退)并避免处理限制性 DACL。啊,是的,ReadOnly处理delete(). 如果用户想打开只读文件进行写入,还没有决定该怎么做......

我最终得到了这个:

W32Handle open_file_(HANDLE hparent, UNICODE_STRING zwpath, access a, disposition d, truncate t)
{
    ...
    ACCESS_MASK access = [a]() -> ACCESS_MASK {
        switch(a)
        {
        case access::r  : return GENERIC_READ;
        case access::w  : [[fallthrough]];                      // MSDN suggests to use GENERIC_READ with GENERIC_WRITE over network (performance reasons)
        case access::rw : return GENERIC_READ|GENERIC_WRITE;
        }
        UNREACHEABLE;
    }();

    constexpr DWORD write_access = FILE_WRITE_ATTRIBUTES|DELETE|WRITE_OWNER;    // we want to always have these (for apply, unlink, chown, etc)

    access |= write_access;
    access |= SYNCHRONIZE|READ_CONTROL|ACCESS_SYSTEM_SECURITY;                  // add "read DACL/SACL" rights (for full_metadata)

    ULONG flags = FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE|FILE_OPEN_FOR_BACKUP_INTENT;

    OBJECT_ATTRIBUTES oa;
    InitializeObjectAttributes(&oa, &zwpath, 0, hparent, NULL);

    HANDLE h;
    IO_STATUS_BLOCK io;
    NTSTATUS r = ZwCreateFile(&h, access, &oa, &io, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_VALID_FLAGS, disposition, flags, NULL, 0);
    if (r == STATUS_SUCCESS) return W32Handle(h);

    if (r == STATUS_MEDIA_WRITE_PROTECTED)      // try again without write flags
    {
        access &= ~write_access;
        r = ZwCreateFile(&h, access, &oa, &io, NULL, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_VALID_FLAGS, disposition, flags, NULL, 0);
        if (r == STATUS_SUCCESS) return W32Handle(h);
    }

    HR_THROW_(HRESULT_FROM_NT(r), "%s: Failed to open file", __func__);
}

整体糟糕的 API,特殊情况的意大利面。我希望我有自己的 SMB 客户。

于 2020-12-16T00:18:57.457 回答