Zend_Acl in ServiceLayer

アクセス制御 Zend_Aclin ServiceLayer

CWE（Common Weakness Enumeration）～脆弱性の種類を識別するための共通の脆弱性タイプの一覧～ http://cwe.mitre.org/top25/ http://www.ipa.go.jp/security/vuln/CWE.html

脆弱性タイプの一覧 1位：XSS 2位：SQLインジェクション 3位：バッファオーバーフロー 4位：CSRF 5位：不正確なアクセス制御制御方法がさまざまでノウハウが蓄積されにくい？ http://cwe.mitre.org/top25/ http://cwe.mitre.org/top25/#CWE-285 http://www.ipa.go.jp/security/vuln/CWE.html

手動アクセス制御の失敗アクセス制御を個別メソッドに書く限りうっかりミスは防げない。動作とアクセス制御は分離するべきテストで防げる？ついうっかりが発生するシチュエーションではテスト仕様自体に漏れがある制御コードを回避？ある画面へのアクセス許可があっても、その画面から対象外のリソースへアクセスするコードが混入すると、回避リスクが発生する課題

サイバー・ノーガード戦法対策は例えば、PHPを避けるサービスレイヤーでアクセス制御

アクセス制御アクセス制御は脆弱性ランキング５位コントローラーでアクセス制御 ZF+ OSSで見るアクセス制御の実例サービス層でリファレンスモニタを使うテーマ

アクセス制御用コンポーネント Zend_Acl（承認）ロールベースアクセス制御(RBAC) Zend_Auth（認証）認証アダプタを利用した認証 DBアダプタを利用するとユーザーの関連情報も取得できる。認証の永続化デフォルトではセッションを利用するが、memcached等の分散ストレージで構成することも可能。ファーム構成でも使える

クィックスタート http://framework.zend.com/manual/ja/learning.multiuser.html Zend Frameworkによるマルチユーザーアプリケーションの構築ユーザーセッション管理ユーザー認証承認システムの構築

ルールの設定定義セット（リソース・ロール・権限）に対するルールを設定する nullは常に一致する同じセットへのルールは上書きされる。同じセットに対して、原則許可、assert付きで拒否というようなルールは作成できない

リソースとロールの継承継承はクラス継承ではなく、Aclへの登録時に親を指定する。権限チェックは親を辿ってルールを探索リソース継承リソースをツリー状に構成ロール継承権限の集約許可がわかりやすくなる × if super-admin or manager ○ if manager 複数ロールの所有をまとめる Zend_Acl 2.0では、複数ロールに対応するかもしれない

疑似ロールの例(CURRENT_USER) 単一ユーザーアクセス規約現在アクセスしているユーザーの権限でだけ動作すると仮定できる場合ログインしたユーザーが持つ複数のロールを、疑似ロール CURRENT_USERでまとめる特定の許可は与えず、ユーザーが保持しているロールを継承するのみとする。権限チェックは疑似ロールに対して行う

疑似ロール(CURRENT_USER) 構成 @singleton Current_User $user = Current_User::getInstance(); $roles = $user->getRoles(); $acl->addRole(CURRENT_USER,$roles); チェック $acl->isAllowed(CURRENT_USER, $resource, $priv);

Assertion $acl->allow($role, $res, $priv, $assertion);

Assertionの仕様 http://framework.zend.com/manual/ja/zend.acl.advanced.html#zend.acl.advanced.assertions Zend_Acl_Assert_Interface // @return boolean functionassert(Zend_Acl $acl, Zend_Acl_Role_Interface $role = null, Zend_Acl_Resource_Interface $resource = null, $privilege = null) リソース自身がassetするassertionという実装も

Assertionの使いどころ banリスト IPアドレス等でアクセス拒否個別ユーザーの任意アクセス制御友達まで公開一時的特権 1日店長とか ASPで試用期間、サポートチケットとか ※Zend_Cacheを使うと簡単

ルール+Assertion $acl->allow($role, $res, $priv, $assert); $assertがtrueならallow、 falseならnull $acl->deny($role, $res, $priv, $assert); $assertがtrueならdeny、 falseならnull $acl->allow(null, null, null, $assert); assertがtrueならallow、falseならdeny Assertに失敗した場合は次のルールを評価する。全null許可は最後に確認され、反転した許可タイプが返される

ルール評価順チートシート指定リソース指定ロール指定権限全権(null) 親ロール指定権限全権(null) 親リソース指定ロール指定権限全権(null) 親ロール指定権限全権(null) nullリソース以下同じ $acl->isAllowed($resource, $role, $privilege) 指定したリソース、ロール、権限に一致するルールを順に検索する。一致したルール以後は評価されない。（assertionは一致条件の追加） nullを指定した検索では、nullルールにマッチする注）間違いがあったら、ご指摘ください。

ルール作成と運用のコツ複雑化するときはスコープを分けてAclオブジェクト自体を切り替えるアクセスブロック、コントローラー、サービスリソースと権限の表を作り、分割と集約で整理する権限が多すぎる場合は、リソースを分割リソースが多すぎる場合には、リソースの継承で集約リソースを作成ロールを組み立てるリソース毎の権限を整理して、機能ロールを作成機能ロールを集め、集約ロールを作る

リソース、権限の整理

規約重視の制御例 NewsControllerextends Zend_Controller_Action News_Aclextends Zend_Acl Newsextends Zend_Db_Table_Abstract 参考) http://weierophinney.net/matthew/archives/201-Applying-ACLs-to-Models.html http://www.oplabo.jp/article/44

News_Acl <?php class News_Acl extends Zend_Acl { protected $_name = 'news'; public function __construct() { //sample $this->addRole(new Zend_Acl_Role('marketing'), 'staff') ->addResource(new Zend_Acl_Resource($this->_name)) ->allow('marketing', $this->_name, array('publish', 'archive')); } }

NewsController <?php class NewsController extends Zend_Controller_Action { // resource name protected $_name = 'news'; public function init() { $this->_acl = new News_Acl; } }

NewsController::preDispatch() $action = $this->getRequest()->getActionName(); $auth = Zend_Auth::getInstance(); $role = $this->getRole($auth->getIdentity()); if (! $this->_acl->isAllowed($role, $this->_name, $action)) { throw new Exception('action not permitted'); //ここでエラーアクションに書き換えてもよい。 } parent::preDispatch();

コントローラーでのアクセス制御介入ポイント init preDispatch アクションヘルパープラグインメリット MVCで動作するかぎり必ず処理される代替画面などクライアント向けの親切対応ができる

Final Answer? "Keep it simple, stupid“ システムに複雑さを持ち込まない。アクセス制御は可能な限りシンプルに必要最小限の複雑さで実装する規約重視パターンは単純な実装形態の一つ単純な実装で複雑な仕様を実現しようとすれば破綻する仕様と実装のバランスで最適な表現方法を見つけることが重要

Zend_Aclの実際オープンソースで見る

Live Commerce http://www.live-commerce.com/ LoginController Aclを定義してZend_Aclインスタンスを返すセッションにAclごと保存アクションヘルパーLoginValidator ログインチェックセッションに保存されたAclでコントローラーに対する権限チェック管理画面用モジュールコントローラー::initで、コントローラーへのアクセス権があるかどうかを必ずチェックしてリダイレクト c::isAllowed グローバル参照可能なチェックメソッドビューでメニューの表示を調整

Omeka http://omeka.org/ AclはZend_Application用のAclリソースを作成して使う aclを定義したリソースファイルから読み込むOmeka_Aclを準備してリソースとして返す omeka/application/core/acl.php アクションヘルパーacl preDispatchで基本的な権限チェックモジュール＋コントローラー = リソース基底コントローラーにisAllowedメソッドを持ち、重要なアクションの前にチェックリソースに権限セットを割り当て

TomatoCMS http://www.tomatocms.com/ SingletonServices_Acl データベースからルールセットを取得してAclをビルドしている isUserOrRoleAllowed Authプラグイン preDispatchでモジュール・コントローラーへのアクセス権をチェック Services_RuleChecker アクセス許可があればコールバックの結果を返すプロキシ主にviewヘルパーで使う Block IP assertion BackEnd Access white list

Aclデータの保存データの使用法にはさまざまなものが考えられるので、 ACL データの保存は、場面に応じて開発者側で考えることになります。 Zend_Acl はシリアライズ可能なので、ACL オブジェクトを PHP の serialize() 関数でシリアライズすることができます。シリアライズした結果を、ファイルやデータベースあるいはキャッシュなどのお好みの場所に保存することができます。マニュアルより

Aclデータのロード・保存方法比較 Live Commerce コントローラーに設定セッションに保存 Omeka Zend_Applicationリソースでacl.phpを読む TomatoCMS データベースから読み込み任意アクセス制御にはDB読込

いずれもコントローラーでのアクセス制御

コントローラー制御の困り所プラグイン開発サービスBの機能を利用するプラグインαは、コントローラーYと同様のアクセス制御を自主的にセットサービスBへのアクセス制御レベルが変更になった変更を必要とするのはどのライブラリ？？ WebサービスサーバーやCLIの実装サーバーライブラリやCLIからサービスを使いたいというシナリオは増加傾向

複雑なシステムでの制御コントローラーでのアクセス制御は画面に対するアクセス制御回避ルートを作らない境界とポリシーを明確にするサービスはコントローラーを無条件で信用してはいけない。モデルでの制御が不要になるのは、サービスとコントローラーの関係が固定されているときのみ

安全な仕組みを提供するコントローラーの仕事クライアント認証を保証する画面レベルの制御ポリシーを作るモデルへ問い合わせるサービスレイヤー承認を経ていないアクセスを拒否するクライアントからの問い合わせに答える？ Mediatorを入れている場合はMediatorで

アクセス制御レイヤーについて調べてみた http://www.infoq.com/articles/ddd-in-practice

サービスレイヤーでアクセス制御 Service Layer(PofEAA) http://www.martinfowler.com/eaaCatalog/serviceLayer.html http://www.slideshare.net/weierophinney/architecting-ajax-applications-with-zend-framework P28~32 参考

Domain Layer Data Source Layer ServiceLayer Presentation Layer ドメインロジックとアプリケーションロジックの境界で、アプリケーション層からの要求を監査する http://www.martinfowler.com/eaaCatalog/serviceLayer.html

サービスレイヤーで実装例サービスはリソース渡されたAclに自分のAclを追加定義する渡されたRoleを元に、権限をチェックして許可がなければ実行しない

Model_User implements Zend_Acl_Role_Interface public function getRoleId() { if ($this->_aclRoleId == null) { return 'guest'; } return $this->_aclRoleId; }

Service_Posts implements Zend_Acl_Resource_Interface public function getResourceId() { return ‘service_posts'; }

Aclの受け入れと設定 public function setAcl(Zend_Acl $acl) { $acl->add($this) // ... ->allow('admin', $this, array( 'register', 'update', 'list', 'delete')); $this->_acl = $acl; return $this; }

Roleの受け入れ（subject設定） public function setRole( Zend_Role_Interface $role ) { $this->_role = $role; return $this; }

メソッドに制御を追加 public function getList() { if (!$this->getAcl()->isAllowed( $this->getRole(), $this, 'list') ) { throw new UnauthorizedException(); } // ... }

クライアントコード $service->setAcl($acl); $service->setRole($role); try { $list = $service->getList(); } catch (UnauthorizedException $e) { $this->_redirect(‘unauth’); }

これでサービスレイヤーでのアクセス制御が可能になりました

サンプルソースの課題サービスがAclを操作している制御実装がサービスクラスに依存 Aclに対する操作は実際は単純ではないロールやリソースの継承、2重登録チェックメソッドにアクセス制御コード必須メソッドに要件以外の内容を追加すべきかすべてのサービスにsetAcl SetRoleを実装すべきか。 SRP単一責任原則は？

そこで、セキュリティといえばIPA ということで、調べてみました http://www.ipa.go.jp/security/awareness/administrator/security-model.pdf

リファレンスモニターを使う Subject 参考 Acl http://www.ipa.go.jp/security/awareness/administrator/security-model.pdf Object リファレンスモニタ

リファレンスモニターアクセスをする側（サブジェクト）から、アクセスされる対象（オブジェクト）へどんなアクセス（リファレンス）ができるのかを明確化する。「リファレンス・モニター」はすべてのアクセス（リファレンス）を監視・仲介してアクセス制御ポリシーを適用する。参考

目標 Acl操作はリファレンスモニターの責務制御に対応するサービス getRulesでルールを提供許可されていないメソッドを禁止する制御に対応するサブジェクト getRoleIdでロールを提示サービスコンテナオブジェクトの関係を定義して、使えるサービスを保管する

リファクタリング手順クラスの責務と関係を明確にする Visitorパターン処理を仲介する Mediatorパターン構成を管理するコンテナ

「金づちを持つとすべて釘に見える」 http://www.doyouphp.jp/phpdp/phpdp_01-2-2_demerit_of_design_pattern.shtml

サンプルの構成 ,[object Object]

サービスがAclに対する操作を知っている必要がある,[object Object]

interface interface Acceptor { public function accept(visitor $visitor); } interface Visitor { public function visit(Acceptor $acceptor); }

interface Object extends Acceptor, Zend_Acl_Resource_Interface {} interface Subject extends Acceptor, Visitor, Zend_Acl_Role_Interface {} interface Monitor extends Visitor {}

Object::accept($monitor) ・子オブジェクトにも伝達 Monitor::visit(Acceptor $acceptor) ・オブジェクトのAclリストを取得・サブジェクトのロールを取得 Subject::visit(Acceptor $object) ・オブジェクトに対する処理 Visitorパターンオブジェクト間処理の定型化 SubjectからObjectへの要求リファレンスモニターの受け入れ受け入れの再帰処理メリット定型処理を集中管理できるクライアントが定型処理を知る必要がない phpにはオーバーロードがないけど？型チェックでswitchしたら意味がない？

public function accept(Visitor $visitor) { switch (true) { case $visitor instanceof Subject: $this->_subject = $subject; break; case $visitor instanceof Monitor: $this->_monitor = $visitor; break; default: return $this; } $visitor->visit($this); return $this; }

public function visit(Acceptor $acceptor) { switch (true) { case $acceptor instanceof Object: $this->_visitObject($acceptor); break; case $acceptor instanceof Subject: $this->_visitSubject($acceptor); break; } }

protected function _visitObject(Object $object) { $resourceID = $object->getResourceId(); if (! $this->_acl->has($object)) { $this->_acl->addResource($object); } if ($object instanceofRuleAggregate) { $rules = $object->getRules(); foreach ($rules as $rule) { $type = isset($rule['type']) ? $rule['type'] : Zend_Acl::TYPE_ALLOW; $role = isset($rule['role']) ? $rule['role'] : null; $resource = isset($rule['resource']) ? $rule['resource'] : $object; $privileges = isset($rule['privileges']) ? $rule['privileges'] : null; $assert = isset($rule['assert']) && $rule['assert'] instanceof Zend_Acl_Assert_Interface ? $rule['assert'] : null; $this->_acl->setRule(Zend_Acl::OP_ADD, $type, $resource, $acceptor, $privileges, $assert); } } if ($object instanceof Zend_Acl_Assert_Interface) { $this->_acl->allow(null, $object, null, $object); } return $this; }

Mediatorを通す手続きをMediatorに任せるクライアントからはサービスがMediatorに見える public function __construct(....... $object->accept($monitor); $subject->accept($monitor); $object->accept($subject);

Mediator public function __construct(Monitor $monitor , Subject $subject , Object $object) { $this->_monitor = $monitor; $this->_subject = $subject; $this->_object = $object; $this->_subject->accept($this->_monitor); $this->_object->accept($this->_monitor); $this->_object->accept($this->_subject); }

Mediator public function __call($method, $args) { $privilege = $this->_object->getPrivilege($method); if (! $this->_monitor->isAllowed( $this->_subject->getRole() , $this->_object, $privilege)) { throw new Exception('method not allowed'); } }

ContainerからMediatorを取得・Zend_ApplicationのBootstrap用リソースで、サービス用コンテナを作成しMediatorを取得します。・アクセス制御用コードを分離・Aclルールはサービスのプロパティとする

DIコンテナを使う Zend_Applicationのリソースだと、メソッドからのビルドを設定に書き出せません。 yadif等をZend_Applicationのリソースで使ってみるとよいと思います。手前みそですがブログに書きました http://d.hatena.ne.jp/noopable/20100213/1266050466

コンテナでのサンプル実装(1) $acl = $this->getApplication()->acl; $accessControl = new Foo_Service_AccessControl($acl); $user = new Foo_Model_User; $user->accept($accessControl); $service = new Foo_Service; $service->accept($accessControl);

コンテナでのサンプル実装(2) $acl = $this->getApplication()->acl; $monitor = new Monitor($acl); $mediator = new Mediator($monitor, $user, $service);

Controller $container = $this->getInvokeArg(‘bootstrap’); $service = $container->services->bugService; try { $service->execFoo(); } catch (PermissionDeniedException $e) { die($e->getMessage()); }

許可されたメソッドだけを実行 public function __call($methodName, $args) { if (! $this->_isAllowed($methodName)) { throw new Exception('method not allowed'); } if (method_exists($this, '_' . $methodName)) { return call_user_func_array(array($this, ‘_’ . 　　 $methodName), $args); } // etc. etc. etc. }

メソッドと権限をマップして許可 protected function _isAllowed($methodName) { $privilege = $this->getPrivilege($methodName); if (!$this->_monitor || !$this->_subject) { throw new Exception('Acc is not activated.'); } return $this->_monitor ->isAllowed($this->_subject, $this, $privilege); }

基礎設計の完成コントローラーはサービスを利用する制御情報はサービスのプロパティ制御操作・約束事は集中管理回避できないアクセス制御

サービスレイヤーでのアクセス制御をお勧めするもうひとつの理由はZF 2.0 バージョンアップ対応アプリ層でのアクセス制御では、アプリ層のV.upで再実装になるリスクが高い。サービスレイヤーなら、そのまま移植できるリファレンスモニターを使う理由 setAcl形式だとZF1.xのZend_Aclを前提とせざるをえないリファレンスモニターなら両バージョンに対応可能

まとめモデルもAclもコアな部分は実装対象にベストマッチするアーキテクチャを構成しよう

何か作りませんか？共同開発者募集中

ご清聴ありがとうございました

参考書籍、サイトなど http://framework.zend.com/manual Patterns of Enterprise Application Architecture エンタープライズアーキテクチャパターン: マーチン・ハウラー著　長瀬嘉秀監訳 Domain-Driven Design: Tackling Complexity in the Heart of Software :Eric Evans著 http://www.martinfowler.com/eaaCatalog/transactionScript.html ,[object Object],http://cwe.mitre.org/top25/ http://www.ipa.go.jp/ http://www.2ch.net http://weierophinney.net/matthew/archives/201-Applying-ACLs-to-Models.html http://www.slideshare.net/weierophinney/architecting-ajax-applications-with-zend-framework http://www.oplabo.jp/article/44 http://www.live-commerce.com/ http://omeka.org/ http://tomatocms.com/

Zend_Acl in ServiceLayer

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Zend_Acl in ServiceLayer

Semelhante a Zend_Acl in ServiceLayer (20)

Último

Último (10)

Zend_Acl in ServiceLayer