projects / shibboleth / cpp-sp.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
https://issues.shibboleth.net/jira/browse/SSPCPP-182
[shibboleth/cpp-sp.git] / shibsp / impl / ChainingAccessControl.cpp
1 /*\r
2  *  Copyright 2009 Internet2\r
3  *\r
4  * Licensed under the Apache License, Version 2.0 (the "License");\r
5  * you may not use this file except in compliance with the License.\r
6  * You may obtain a copy of the License at\r
7  *\r
8  *     http://www.apache.org/licenses/LICENSE-2.0\r
9  *\r
10  * Unless required by applicable law or agreed to in writing, software\r
11  * distributed under the License is distributed on an "AS IS" BASIS,\r
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.\r
13  * See the License for the specific language governing permissions and\r
14  * limitations under the License.\r
15  */\r
16 \r
17 /**\r
18  * ChainingAccessControl.cpp\r
19  *\r
20  * Access control plugin that combines other plugins.\r
21  */\r
22 \r
23 #include "internal.h"\r
24 #include "exceptions.h"\r
25 #include "AccessControl.h"\r
26 #include "SessionCache.h"\r
27 #include "SPRequest.h"\r
28 \r
29 #include <xmltooling/util/XMLHelper.h>\r
30 #include <xercesc/util/XMLUniDefs.hpp>\r
31 \r
32 using namespace shibsp;\r
33 using namespace xmltooling;\r
34 using namespace std;\r
35 \r
36 namespace {\r
37 \r
38     class ChainingAccessControl : public AccessControl\r
39     {\r
40     public:\r
41         ChainingAccessControl(const DOMElement* e);\r
42 \r
43         ~ChainingAccessControl() {\r
44             for_each(m_ac.begin(), m_ac.end(), xmltooling::cleanup<AccessControl>());\r
45         }\r
46 \r
47         Lockable* lock() {return this;}\r
48         void unlock() {}\r
49 \r
50         aclresult_t authorized(const SPRequest& request, const Session* session) const;\r
51 \r
52     private:\r
53         enum operator_t { OP_AND, OP_OR } m_op;\r
54         vector<AccessControl*> m_ac;\r
55     };\r
56 \r
57     AccessControl* SHIBSP_DLLLOCAL ChainingAccessControlFactory(const DOMElement* const & e)\r
58     {\r
59         return new ChainingAccessControl(e);\r
60     }\r
61 \r
62     static const XMLCh _AccessControl[] =   UNICODE_LITERAL_13(A,c,c,e,s,s,C,o,n,t,r,o,l);\r
63     static const XMLCh _operator[] =        UNICODE_LITERAL_8(o,p,e,r,a,t,o,r);\r
64     static const XMLCh _type[] =            UNICODE_LITERAL_4(t,y,p,e);\r
65     static const XMLCh AND[] =              UNICODE_LITERAL_3(A,N,D);\r
66     static const XMLCh OR[] =               UNICODE_LITERAL_2(O,R);\r
67 }\r
68 \r
69 extern AccessControl* SHIBSP_DLLLOCAL XMLAccessControlFactory(const DOMElement* const & e);\r
70 \r
71 void SHIBSP_API shibsp::registerAccessControls()\r
72 {\r
73     SPConfig& conf=SPConfig::getConfig();\r
74     conf.AccessControlManager.registerFactory(CHAINING_ACCESS_CONTROL, ChainingAccessControlFactory);\r
75     conf.AccessControlManager.registerFactory(XML_ACCESS_CONTROL, XMLAccessControlFactory);\r
76     conf.AccessControlManager.registerFactory("edu.internet2.middleware.shibboleth.sp.provider.XMLAccessControl", XMLAccessControlFactory);\r
77 }\r
78 \r
79 ChainingAccessControl::ChainingAccessControl(const DOMElement* e)\r
80 {\r
81     const XMLCh* op = e ? e->getAttributeNS(NULL, _operator) : NULL;\r
82     if (XMLString::equals(op, AND))\r
83         m_op=OP_AND;\r
84     else if (XMLString::equals(op, OR))\r
85         m_op=OP_OR;\r
86     else\r
87         throw ConfigurationException("Missing or unrecognized operator in Chaining AccessControl configuration.");\r
88 \r
89     try {\r
90         e = e ? XMLHelper::getFirstChildElement(e, _AccessControl) : NULL;\r
91         while (e) {\r
92             auto_ptr_char type(e->getAttributeNS(NULL, _type));\r
93             if (type.get() && *type.get()) {\r
94                 Category::getInstance(SHIBSP_LOGCAT".AccessControl.Chaining").info("building AccessControl provider of type (%s)...", type.get());\r
95                 m_ac.push_back(SPConfig::getConfig().AccessControlManager.newPlugin(type.get(), e));\r
96             }\r
97             e = XMLHelper::getNextSiblingElement(e, _AccessControl);\r
98         }\r
99     }\r
100     catch (exception&) {\r
101         for_each(m_ac.begin(), m_ac.end(), xmltooling::cleanup<AccessControl>());\r
102         throw;\r
103     }\r
104 }\r
105 \r
106 AccessControl::aclresult_t ChainingAccessControl::authorized(const SPRequest& request, const Session* session) const\r
107 {\r
108     switch (m_op) {\r
109         case OP_AND:\r
110         {\r
111             for (vector<AccessControl*>::const_iterator i=m_ac.begin(); i!=m_ac.end(); ++i) {\r
112                 if ((*i)->authorized(request, session) != shib_acl_true)\r
113                     return shib_acl_false;\r
114             }\r
115             return shib_acl_true;\r
116         }\r
117 \r
118         case OP_OR:\r
119         {\r
120             for (vector<AccessControl*>::const_iterator i=m_ac.begin(); i!=m_ac.end(); ++i) {\r
121                 if ((*i)->authorized(request,session) == shib_acl_true)\r
122                     return shib_acl_true;\r
123             }\r
124             return shib_acl_false;\r
125         }\r
126     }\r
127     request.log(SPRequest::SPWarn, "unknown operation in access control policy, denying access");\r
128     return shib_acl_false;\r
129 }\r
Unnamed repository; edit this file 'description' to name the repository.