security - 向 ACL 添加限制会在 Jackrabbit Oak 中的查询产生空结果
问题描述
使用 Jackrabbit Oak,我一直在尝试通过SecurityProvider和SecurityConfigurations 配置安全性。特别是,我一直在使用通常按预期工作的限制。但是,在处理JCR-SQL2查询时,过滤掉的内容比预期的要多。
细节
可以使用下面的存储库复制它。
/
node [nt:unstructured]
subnode [nt:unstructured]
在 上node,我添加了一个具有权限的访问控制条目以及JCR_ALL- >user的限制,这样就无法访问.rep:glob""usernode
使用时按预期工作session.getNode:
session.getNode("/node")返回节点session.getNode("/node/subnode")PathNotFoundException由于限制,按预期抛出。
但是,当我执行以下JCR-SQL2查询时:
SELECT * FROM [nt:unstructured]
我没有得到任何结果。在这里我会期望得到/node,因为它在使用时是可用的session.getNode。
代码
public static void main(String[] args) throws Exception {
Repository repository = new Jcr().with(new MySecurityProvider()).createRepository();
Session session = repository.login(new UserIdCredentials("")); // principal is "SystemPrincipal.INSTANCE"
// Create nodes
Node node = session.getRootNode().addNode("node", "nt:unstructured");
node.addNode("subnode", "nt:unstructured");
// Add access control entry + restriction
AccessControlManager acm = session.getAccessControlManager();
JackrabbitAccessControlList acl = (JackrabbitAccessControlList) acm
.getApplicablePolicies("/node").nextAccessControlPolicy();
Privilege[] privileges = new Privilege[]{acm.privilegeFromName(Privilege.JCR_ALL)};
Map<String, Value> restrictions = new HashMap<String, Value>() {{put("rep:glob", new StringValue(""));}};
acl.addEntry(new PrincipalImpl("user"), privileges, true, restrictions);
acm.setPolicy("/node", acl);
session.save();
// executes query
RowIterator rows = repository.login(new UserIdCredentials("user")).getWorkspace().getQueryManager()
.createQuery("SELECT * FROM [nt:unstructured]", Query.JCR_SQL2).execute().getRows();
System.out.println("Number of rows: " + rows.getSize()); //Prints 0
}
如果restrictions要从上面的代码中删除一个,则node和都会subnode按预期出现在查询结果中。
MySecurityProvider使用ConfigurationParameters.EMPTY和所有SecurityConfigurations的默认实现,除了AuthenticationConfiguration我自己实现的:
class MyAuthenticationConfiguration extends AuthenticationConfigurationImpl {
public MyAuthenticationConfiguration(SecurityProvider securityProvider) {
super(securityProvider);
}
@NotNull
@Override
public LoginContextProvider getLoginContextProvider(ContentRepository contentRepository) {
return new LoginContextProvider() {
@NotNull
public LoginContext getLoginContext(Credentials credentials, String workspaceName) {
String userId = ((UserIdCredentials) credentials).getUserId();
Set<Principal> principalSets = new HashSet<>();
if (userId.isEmpty()) {
principalSets.add(SystemPrincipal.INSTANCE);
} else {
principalSets.add(new PrincipalImpl(userId));
}
Map<String, ? extends Principal> publicPrivileges = new HashMap<>();
AuthInfoImpl authInfoImpl = new AuthInfoImpl(userId, publicPrivileges, principalSets);
Subject subject = new Subject(true, principalSets, Collections.singleton(authInfoImpl), new HashSet<Principal>());
return new PreAuthContext(subject);
}
};
}
}
我正在使用 Jackrabbit Oak 1.10.0 版
解决方案
这原来是 Jackrabbit Oak- Link 中的一个错误问题。
从 1.12.0 版开始,此问题已得到解决
推荐阅读
- sql - PostgreSQL。我需要一个分层表有一个约束,所以没有节点可以在同一级别上具有相同的名称
- youtube - 嵌入的 Youtube 频道直播不起作用
- c++ - C++:函数模板指针的 std::vector
- javascript - 检查是否有时间过去
- mongodb - 使用 Golang 将日期插入 Mongo
- java - R 使用管道工 API 作为 Web 服务
- ios - 当页面不在焦点时,Safari 由于空闲/不活动而丢弃 Web Socket 连接
- windows-subsystem-for-linux - 如何获得 man 命令?
- .net - 如何在没有任何外键关系的情况下包含表数据并在对象之间推送
- sql - 查询以使用 sql server 从字符串中间删除尾随或前导空格