当今常见的BPM趋势是集中化整个公司或公司内大部门的BPM执行这意味着单个BPM服务器(集群)运行着整个公司的许多流程定义这种方式的挑战在 于虽然BPM引擎(包括jBPM)提供了对于任务访问的授权但它们一般都不支持这些功能的授权流程定义的查看和删除流程实例的启动结束查看和删除等在这篇文章中我们将描述如何对jBPM引擎进行扩展 (基于jBPM )来实现这一功能
整体实现方法
整个实现方式相当直接了当——对于每个流程定义引入一组可以授权的用户/用户组(类似任务定义)作用于定义实例和给定流程的历史此外我们还想对给 定的用户/用户组支持多重授权级别——目前我们打算引入个角色starter和user这里的starter是允许对流程定义/实例 /历史进行任何操作的角色而user角色的权限仅限于查询流程/历史
这种方式的实现需要对jBPM进行以下改造
◆流程定义
给流程定义增加流程访问权限
◆流程部署
扩展当前的流程部署器增加流程授权定义的解析和流程访问列表的生成
引入额外的类/数据库表存放每个流程定义的访问权限
◆流程执行(Execution)
引入已授权命令(authorized command)——要求用户经过授权才能执行的命令
修改现有的jBPM中我们期望基于当前用户证书进行授权的部分这包括启动结束和删除流程实例以及删除部署定义
修改现有的jBPM查询考虑现有用户的证书这包括部署和流程定义查询流程实例查询以及历史流程实例活动和细节的查询
除了以上更改我们还想扩展流程实例查询好让用户可以通过指定某些流程变量的值来缩小查询结果这种搜索的一个常见情况就是查询由我启动的流程为 了确保这种查询总是可用我们更改了启动流程实例命令的实现显式地把当前用户ID加到了流程变量值的集合中
最后为了支持多种用户认证方法我们实现了一个自定义的身份会话它支持用程序来设置和访问当前用户的证书其目的在于把用户证书(ID和参与的组) 的获得和jBPM运行时对这种信息的使用分离开来
我们的实现利用了非常强大和灵活的jBPM 的配置机制它让我们可以
通过扩展现有jBPM类最小化了自定义代码的数量只实现我们扩展所需的额外功能
将我们的扩展实现成可以与jBPM 类库一起使用的单独jar包无需对现有库进行任何改变
在深入我们的实现细节之前我们首先要讨论一下我们大量使用的jBPM 的配置
jBPM 的配置机制
jBPM的基础是流程虚拟机(PVM)[]它建立在自定义的依赖注入实现之上依赖注入由非常强大的基于XML的配置机制控制这种机制用于创建标签和预定义接口相关的特定实现之间的绑定 (binding)
这种机制的核心是jbpmwirebindingsxml文件它描述了[] jBPM PVM的主要组件包括
◆基本类型
◆对象及引用
◆环境引用
◆Hibernate绑定
◆会话
◆服务
◆部署器
◆拦截器
◆等
该文件是jBPM分发包的一部分如果用户想增加自己的绑定(binding)他可以创建jbpmuserwirebindingsxml描述 它们而不用修改jbpmwirebindingsxml文件
这两个文件会被jBPM PVM在启动时读入并解析为定义在jbpmcfgxml中的基础PVM执行(execution)配置而服务jbpmcfgxml一般会包含 多个部分描述了PVM执行的特定组件的配置
jBPM PVM由一组提供PVM功能的服务组成[]主要的PVM服务包括
◆仓储服务提供一组查看和管理部署仓储的方法
◆执行服务提供一组查看和管理运行中流程执行(execution)的方 法
◆管理服务提供一组查看和管理工作(job)的方法
◆任务服务提供一组查看和管理用户任务(task)的方法
◆历史服务提供一组访问运行中和已完成流程执行的历史信息的方法
这组可用服务和实现这些服务的类(使用前面说的绑定)被配置成流程引擎的上下文
服务执行被实现成一组命令(command)它们作为服务方法执行的一部分被调用命令的实际执行由命令服务控制
命令服务在命令服务上下文中被配置成一组拦截器实现横切关注点环绕(around)命令调用(命令执行管线)缺省的jBPM分发包在命令执行管线中 携带了以下拦截器
◆重试(Retry)拦截器负责重试命令执行
◆环境(Environment)拦截器负责在必要时把jBPM上下文注入命 令执行中
◆事务(Transaction)拦截器负责介入命令调用的事务边界划分
拦截器是将jBPM移植到不同环境以及引入其他横切关注点的核心机制
命令执行一般会利用环境它也是可配置的典型的环境组件有
◆仓储会话
◆DB会话
◆消息会话
◆定时器会话
◆历史会话
◆邮件会话
可以添加其他会话来扩展PVM的功能
最后部署管理器配置允许指定一组部署器它们依次执行把业务流程部署到PVM这种方法使得扩展流程定义可以通过实现额外的部署步骤完成无需覆盖 jBPM分发包自带的部署器
整个PVM的架构如图示
图 PVM架构
在流程定义中引入授权
我们在图中看到可以给流程定义添加任意属性利用这种扩展选项我们现在定义以下流程属性描述授权策略
◆starterusers具有starter角色的用户列表
◆startergroups具有 starter角色的组列表
◆userusers具有user角色的用户列表
◆usergroups具 有user角色的组列表
每个属性的值是逗号分隔的组/用户id列表
图 流程定义模式
此外我们还定义了一个特殊的用户类型any和两个用户组all和admin任何用户不论其真实ID是什么都是any用 户任何组不论其ID是什么也都是all最后admin组的成员被认为是任意组的成员
流程授权定义由以下规则驱动
◆如果userusers和usergroups都未被指定则userusers=all
◆如果 starterusers和startegroups都未被指定则流程用户被额外地分配starter角色
按照这个规则清单中的流程可以被任何人启动和使用
<process package=comnavteqjbpm
key=NO_AUTHORIZATION
name=Test Authorization not required
version=
xmlns=>
<start g= name=start>
<transition to=end/>
</start>
<end g= name=end/>
</process>
清单 没有授权信息的流程定义
清单的流程可以被mark或tomcat组中的任何人使用和启动
<process package=comnavteqjbpm
key=AUTHORIZATION
name=Test Authorization Required
version=
xmlns=
userusers=mark
usergroups=tomcat>
<start g= name=start >
<transition to=end/>
</start>
<end g= name=end/>
</process>
清单 具有用户授权信息的流程定义
我们引入了一个新类ACL针对给定流程 (processDefinitionIDprocessDefinitionKeyDeploymentID)它包含一个单独的访问列表(用户或 组以及类型)同时还引入了相应的Hibernate定义
图中清单的流程部署为具有两个角色(user和starter)的用户any创建了个ACL而在图中清单的流程部署将创建 个用户mark和组tomcat每个都具有个角色user和starter
图 无授权信息的流程的ACL
图 有用户授权信息的流程的ACL
这些ACL的生成是通过引入额外的部署器完成的它将在标准jBPM部署器之后运行抽取上面描述的授权属性为给定流程构建ACL
保护jBPM命令
我们采用了一种通用的方法来保护jBPM命令包括实现用于定义命令所需授权信息的自定义的注解以及处理这个注解的自定义的授权会话(命令拦截器)实现
授权注解(清单)可以指定所需的用户角色和表示某个流程的方法
@Retention(value=RetentionPolicyRUNTIME)
@Target(value=ElementTypeMETHOD)
public @interface AuthorizedCommand {
/** Access type */
public String role();
String key();
}
清单 授权注解
对于某个流程用户角色starter或user指向某个用户应该拥有的角色[]由于不同命令既可以引用部署ID也可以引用流程ID或者流程键值因此注解支持多种指定键值的方式允许将合适的引用指定为键值
清单的授权拦截器检查是否有命令的方法被授权注解修饰如果有则执行适当的查询确定出哪些用户和用户组集合被授权给了这个命令然后检查当前用户是 否属于他们
…………
@SuppressWarnings(unchecked)
public void checkPermission(Command<?> command EnvironmentImpl environment) {
environmentsetAuthenticatedUserId(environmentget(AuthorizationIdentitySessionclass)getAuthenticatedUserId());
for( Method method : commandgetClass()getMethods()) {
AuthorizedCommand sc = methodgetAnnotation(AuthorizedCommandclass);
if(sc != null){
logdebug(Checking Class based Secured Function);
String ID = environmentget(AuthorizationIdentitySessionclass)getAuthenticatedUserId();
Object value = null;
try {
logdebug(Checking authorization: + commandgetClass()getName());
Session session = environmentget(SessionImplclass);
value = methodinvoke(command (Object[])null);
Query uQ = sessioncreateQuery(userQueryget(sckey()))
setString(role scrole())setString(value(String) value);
Query gQ = sessioncreateQuery(groupQueryget(sckey()))
setString(role scrole())setString(value (String) value);
List<String> userIds = (List<String>)uQlist();
List<String> groups = (List<String>)gQlist();
if(!isAuthorized(environment userIds groups))
throw new AccessControlException(ID+ attempted access to ProcessDefinition #+value);
} catch (IllegalArgumentException e) {
logerror(Caught + IllegalArgumentExceptionclass e);
throw new AccessControlException(ID+ attempted access to ProcessDefinition #+value);
} catch (IllegalAccessException e) {
logerror(Caught + IllegalAccessExceptionclass e);
throw new AccessControlException(ID+ attempted access to ProcessDefinition #+value);
} catch (InvocationTargetException e) {
logerror(Caught + InvocationTargetExceptionclass e);
throw new AccessControlException(ID+ attempted access to ProcessDefinition #+value);
}
}
}
return;
}
……………………
public boolean isAuthorized(EnvironmentImpl env List<String> authorizedUserIds List<String> authorizedGroupIds) {
AuthorizationIdentitySession identitySession = envget(AuthorizationIdentitySessionclass);
if (antains(AuthorizationIdentitySessionANONYMOUS_USER_ID))
return true;
if (antains(identitySessiongetAuthenticatedUserId()) )
return true;
//check if any of userGroups is an authorized group if so then return true
List<Group> groups = identitySessionfindGroupsByUser(identitySessiongetAuthenticatedUserId());
for(Group group : groups){
String g = groupgetId();
//admin is allowed to execute any command
if(gequals(AuthorizationIdentitySessionADMINISTRATORS_GROUP))
return true;
if(auntains(g))
return true;
}
return false;
}
清单 授权拦截器
为了保护命令实现我们创建了一个新类它扩展了现有的命令增加了一个带注解的方法(清单)返回给定命令可用的键值
@AuthorizedCommand(role = ACLSTARTER key = NavteqAuthorizationSessionPROCESSID)
public String getProcessDefinitionKey() {
return processDefinitionId;
}
清单 给启动流程实例命令引入授权信息
根据所提议的方法我们对下列命令进行了注解
◆删除部署
◆启动流程实例
◆启动最近的流程实例
◆结束流程实例
◆删除流程实例
扩展查询
引入授权意味着查询结果应该只返回用户被授权查看的信息[]这可以通过扩展现有查询的where语句实现(清单)
//check authorization
String userId = EnvironmentImplgetCurrent()getAuthenticatedUserId();
List<Group> userGroups = EnvironmentImplgetCurrent()get(IdentitySessionclass)findGroupsByUser(userId);
hqlappend( + ACLclassgetName() + as acl );
appendWhereClause(acldeployment=deployment and acltype= +
ACLSTARTER +
hql);
appendWhereClause(((acluserId in +
UtilscreateHqlUserString(userId) +
) or +
(aclgroupId in +
UtilscreateHqlGroupString(userGroups) + ))
hql);
清单 为流程定义查询提供授权支持的额外where语句
额外的where语句是通过扩展现有查询实现和覆盖hlq方法实现的
按照这种方法扩展了以下查询
◆部署查询
◆流程定义查询
◆流程实例查询
◆历史流程实例查询
◆历史活动 查询
◆历史细节查询
为了能够增加字符串实例变量以缩小查询结果我们还额外扩展了一个流程实例查询
支持多种用户管理方式
以上给出的实现依赖使用执行环境来获得当前用户ID和使用IdentitySession来获得用户组成员关系jBPM分发包提供了这个接口的个实现
◆IdentitySessionImpl基于jBPM的用户/组数据库
◆JBossIdmIdentitySessionImpl 基于JBoss Identity IDM组件
不同于大量依赖其他技术的实现对于我们的实现我们决定把用户ID/组的获取同这些信息的保存分离开来使之可以被其他的jBPM实现利用(图)
图 用户管理实现
为了确保在设定和重新设定用户证书的时候环境是可用的我们把这两个操作实现成了命令(清单)这样借助jBPM命令执行服务就可以正确设置执行环境
public static class SetPrincipalCommand extends AbstractCommand<Void> {
private static final long serialVersionUID = L;
private String userId;
private String[] groups;
public SetPrincipalCommand(String u Stringgroups) {
thisuserId=u; thisgroups=groups;
}
public Void execute(Environment environment) throws Exception {
environmentget(AuthorizationIdentitySessionclass)setPrincipal(userIdgroups);
return null;
}
}
public static class ResetPrincipalCommand extends AbstractCommand<Void> {
private static final long serialVersionUID = L;
public Void execute(Environment environment) throws Exception {
environmentget(AuthorizationIdentitySessionclass)reset();
return null;
}
}
把新命令和查询引入到jBPM执行中
由于jBPM并没有提供任何配置命令服务关系的支持为了能改变给定服务中的命令就必须使用调用新命令的新服务实现覆盖旧实现清单给出了一个使用新命令服务覆盖历史服务的例子
public class NavteqHistoryServiceImpl extends HistoryServiceImpl {
@Override
public HistoryActivityInstanceQuery createHistoryActivityInstanceQuery() {
return new AuthorizedHistoryActivityInstanceQueryImpl(commandService);
}
@Override
public HistoryDetailQuery createHistoryDetailQuery() {
return new AuthorizedHistoryDetailQueryImpl(commandService);
}
@Override
public HistoryProcessInstanceQuery createHistoryProcessInstanceQuery() {
return newAuthorizedHistoryProcessInstanceQuery(commandService);
}
}
清单 在历史服务中引入授权命令
总结
本文给出的这部分实现[]并没有扩展JPDL而是扩展了被jBPM支持的所有语言都使用的JBoss PVM[]结果是这些语言都能够使用这个实现
