shibsp/impl/ChainingAccessControl.cpp

   1 /*\r
   2  *  Copyright 2009 Internet2\r
   3  *\r
   4  * Licensed under the Apache License, Version 2.0 (the "License");\r
   5  * you may not use this file except in compliance with the License.\r
   6  * You may obtain a copy of the License at\r
   7  *\r
   8  *     http://www.apache.org/licenses/LICENSE-2.0\r
   9  *\r
  10  * Unless required by applicable law or agreed to in writing, software\r
  11  * distributed under the License is distributed on an "AS IS" BASIS,\r
  12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.\r
  13  * See the License for the specific language governing permissions and\r
  14  * limitations under the License.\r
  15  */\r
  16 \r
  17 /**\r
  18  * ChainingAccessControl.cpp\r
  19  *\r
  20  * Access control plugin that combines other plugins.\r
  21  */\r
  22 \r
  23 #include "internal.h"\r
  24 #include "exceptions.h"\r
  25 #include "AccessControl.h"\r
  26 #include "SessionCache.h"\r
  27 #include "SPRequest.h"\r
  28 \r
  29 #include <algorithm>\r
  30 #include <xmltooling/unicode.h>\r
  31 #include <xmltooling/util/XMLHelper.h>\r
  32 #include <xercesc/util/XMLUniDefs.hpp>\r
  33 \r
  34 using namespace shibsp;\r
  35 using namespace xmltooling;\r
  36 using namespace std;\r
  37 \r
  38 namespace shibsp {\r
  39 \r
  40     class ChainingAccessControl : public AccessControl\r
  41     {\r
  42     public:\r
  43         ChainingAccessControl(const DOMElement* e);\r
  44 \r
  45         ~ChainingAccessControl() {\r
  46             for_each(m_ac.begin(), m_ac.end(), xmltooling::cleanup<AccessControl>());\r
  47         }\r
  48 \r
  49         Lockable* lock() {\r
  50             for_each(m_ac.begin(), m_ac.end(), mem_fun<Lockable*,Lockable>(&Lockable::lock));\r
  51             return this;\r
  52         }\r
  53         void unlock() {\r
  54             for_each(m_ac.begin(), m_ac.end(), mem_fun<void,Lockable>(&Lockable::unlock));\r
  55         }\r
  56 \r
  57         aclresult_t authorized(const SPRequest& request, const Session* session) const;\r
  58 \r
  59     private:\r
  60         enum operator_t { OP_AND, OP_OR } m_op;\r
  61         vector<AccessControl*> m_ac;\r
  62     };\r
  63 \r
  64     AccessControl* SHIBSP_DLLLOCAL ChainingAccessControlFactory(const DOMElement* const & e)\r
  65     {\r
  66         return new ChainingAccessControl(e);\r
  67     }\r
  68 \r
  69     static const XMLCh _AccessControl[] =   UNICODE_LITERAL_13(A,c,c,e,s,s,C,o,n,t,r,o,l);\r
  70     static const XMLCh _operator[] =        UNICODE_LITERAL_8(o,p,e,r,a,t,o,r);\r
  71     static const XMLCh _type[] =            UNICODE_LITERAL_4(t,y,p,e);\r
  72     static const XMLCh AND[] =              UNICODE_LITERAL_3(A,N,D);\r
  73     static const XMLCh OR[] =               UNICODE_LITERAL_2(O,R);\r
  74 \r
  75     extern AccessControl* SHIBSP_DLLLOCAL XMLAccessControlFactory(const DOMElement* const & e);\r
  76 }\r
  77 \r
  78 void SHIBSP_API shibsp::registerAccessControls()\r
  79 {\r
  80     SPConfig& conf=SPConfig::getConfig();\r
  81     conf.AccessControlManager.registerFactory(CHAINING_ACCESS_CONTROL, ChainingAccessControlFactory);\r
  82     conf.AccessControlManager.registerFactory(XML_ACCESS_CONTROL, XMLAccessControlFactory);\r
  83     conf.AccessControlManager.registerFactory("edu.internet2.middleware.shibboleth.sp.provider.XMLAccessControl", XMLAccessControlFactory);\r
  84 }\r
  85 \r
  86 ChainingAccessControl::ChainingAccessControl(const DOMElement* e)\r
  87 {\r
  88     const XMLCh* op = e ? e->getAttributeNS(NULL, _operator) : NULL;\r
  89     if (XMLString::equals(op, AND))\r
  90         m_op=OP_AND;\r
  91     else if (XMLString::equals(op, OR))\r
  92         m_op=OP_OR;\r
  93     else\r
  94         throw ConfigurationException("Missing or unrecognized operator in Chaining AccessControl configuration.");\r
  95 \r
  96     try {\r
  97         e = e ? XMLHelper::getFirstChildElement(e, _AccessControl) : NULL;\r
  98         while (e) {\r
  99             auto_ptr_char type(e->getAttributeNS(NULL, _type));\r
 100             if (type.get() && *type.get()) {\r
 101                 Category::getInstance(SHIBSP_LOGCAT".AccessControl.Chaining").info("building AccessControl provider of type (%s)...", type.get());\r
 102                 m_ac.push_back(SPConfig::getConfig().AccessControlManager.newPlugin(type.get(), e));\r
 103             }\r
 104             e = XMLHelper::getNextSiblingElement(e, _AccessControl);\r
 105         }\r
 106     }\r
 107     catch (exception&) {\r
 108         for_each(m_ac.begin(), m_ac.end(), xmltooling::cleanup<AccessControl>());\r
 109         throw;\r
 110     }\r
 111     if (m_ac.empty())\r
 112         throw ConfigurationException("Chaining AccessControl plugin requires at least one child plugin.");\r
 113 }\r
 114 \r
 115 AccessControl::aclresult_t ChainingAccessControl::authorized(const SPRequest& request, const Session* session) const\r
 116 {\r
 117     switch (m_op) {\r
 118         case OP_AND:\r
 119         {\r
 120             for (vector<AccessControl*>::const_iterator i=m_ac.begin(); i!=m_ac.end(); ++i) {\r
 121                 if ((*i)->authorized(request, session) != shib_acl_true)\r
 122                     return shib_acl_false;\r
 123             }\r
 124             return shib_acl_true;\r
 125         }\r
 126 \r
 127         case OP_OR:\r
 128         {\r
 129             for (vector<AccessControl*>::const_iterator i=m_ac.begin(); i!=m_ac.end(); ++i) {\r
 130                 if ((*i)->authorized(request,session) == shib_acl_true)\r
 131                     return shib_acl_true;\r
 132             }\r
 133             return shib_acl_false;\r
 134         }\r
 135     }\r
 136     request.log(SPRequest::SPWarn, "unknown operation in access control policy, denying access");\r
 137     return shib_acl_false;\r
 138 }\r