Spring Security Integration mit HERAS AF

Als Teil des weitverbreiteten Spring Frameworks unterstützt Spring Security die Absicherung
von Unternehmensapplikationen durch Autorisierung von Zugriffen auf technische Ressourcen.
Allerdings werden die dafür benötigten Regeln normalerweise dezentral im Quellcode definiert
und es wird durch die Architektur von Spring Security ein Rollen oder Permission-basiertes
Sicherheitskonzept vorgeschrieben.
Eine elegantere Lösung wäre das gänzliche Auslagern der Entscheidung in eine externe
Komponente. Im zu schützenden Code selbst werden die verfügbaren Informationen gesammelt,
aufbereitet und die Entscheidungsfindung an diese externe Komponente delegiert. Eine solche
Komponente bietet HERASAF, ein am ITA entwickeltes Open Source Projekt. Basierend auf
dem XACML 2.0 Standard erlaubt HERASAF die Definition und zentrale Verwaltung von
beliebig komplexen formalen Richtlinien. Es lassen sich weitaus differenziertere
Zusammenhänge zwischen Benutzern und Ressourcen modellieren. Zugriffsregeln können von
der Codebasis entkoppelt und während der Applikationslaufzeit statt der Entwicklung bestimmt
werden.
Das Ziel dieser Studienarbeit war es, durch Spring Security abgesicherte Applikationen in die
Lage zu versetzen, die eigentliche Entscheidung an einen HERASAF Policy Decision Point (PDP)
zu delegieren.
Unsere Lösung erweitert Spring Security um die Möglichkeit, Methoden mittels spezieller
Expressions abzusichern, die den Zugriffskontext möglichst neutral erfassen und die
Zugriffsentscheidung einem zentralen PDP zu übergeben.
Die im Rahmen dieser Studienarbeit entwickelte Lösung ist vielfältig erweiterbar. Denkbar wäre
zusätzlich zu Expressions die Unterstützung von Annotationen, Absicherung auf Klassenebene,
Unterstützung von Websicherheit oder die Integration mit anderen Frameworks als Spring.