當今常見的BPM趨勢是集中化整個公司或公司內大部門的BPM執(zhí)行。這意味著，單個BPM服務器（集群）運行著整個公司的許多流程定義。這種方式的挑戰(zhàn)在 于，雖然BPM引擎（包括jBPM）提供了對于任務訪問的授權，但它們一般都不支持這些功能的授權：流程定義的查看和刪除，流程實例的啟動、結束、查看和刪除等。在這篇文章中，我們將描述如何對jBPM引擎進行擴展 （基于jBPM 4.3）來實現(xiàn)這一功能。

整體實現(xiàn)方法

整個實現(xiàn)方式相當直接了當——對于每個流程定義引入一組可以授權的用戶/用戶組（類似任務定義），作用于定義、實例和給定流程的歷史。此外，我們還想對給 定的用戶/用戶組支持多重授權級別——目前我們打算引入2個角色：“starter”和“user”。這里的“starter”是允許對流程定義/實例 /歷史進行任何操作的角色，而“user”角色的權限僅限于查詢流程/歷史。

這種方式的實現(xiàn)需要對jBPM進行以下改造：

◆流程定義：

給流程定義增加流程訪問權限

◆流程部署：

擴展當前的流程部署器，增加流程授權定義的解析和流程訪問列表的生成

引入額外的類/數(shù)據(jù)庫表，存放每個流程定義的訪問權限

◆流程執(zhí)行（Execution）

引入已授權命令（authorized command）——要求用戶經(jīng)過授權才能執(zhí)行的命令

修改現(xiàn)有的jBPM中我們期望基于當前用戶證書進行授權的部分。這包括啟動、結束和刪除流程實例，以及刪除部署定義。

修改現(xiàn)有的jBPM查詢，考慮現(xiàn)有用戶的證書。這包括部署和流程定義查詢、流程實例查詢，以及歷史流程實例、活動和細節(jié)的查詢。

除了以上更改，我們還想擴展流程實例查詢，好讓用戶可以通過指定某些流程變量的值來縮小查詢結果。這種搜索的一個常見情況就是查詢“由我啟動的”流程。為 了確保這種查詢總是可用，我們更改了啟動流程實例命令的實現(xiàn)，顯式地把當前用戶ID加到了流程變量值的集合中。

最后，為了支持多種用戶認證方法，我們實現(xiàn)了一個自定義的身份會話，它支持用程序來設置和訪問當前用戶的證書。其目的在于，把用戶證書（ID和參與的組） 的獲得和jBPM運行時對這種信息的使用分離開來。

我們的實現(xiàn)利用了非常強大和靈活的jBPM 4的配置機制，它讓我們可以：

通過擴展現(xiàn)有jBPM類，最小化了自定義代碼的數(shù)量，只實現(xiàn)我們擴展所需的額外功能

將我們的擴展實現(xiàn)成可以與jBPM 4類庫一起使用的單獨jar包，無需對現(xiàn)有庫進行任何改變。

在深入我們的實現(xiàn)細節(jié)之前，我們首先要討論一下我們大量使用的jBPM 4的配置。

#p#

jBPM 4的配置機制

jBPM的基礎是流程虛擬機（PVM）[2]，它建立在自定義的依賴注入實現(xiàn)之上。依賴注入由非常強大的、基于XML的配置機制控制，這種機制用于創(chuàng)建標簽和預定義接口相關的特定實現(xiàn)之間的綁定 （binding）。

這種機制的核心是jbpm.wire.bindings.xml文件，它描述了[3] jBPM PVM的主要組件，包括：

◆基本類型

◆對象及引用

◆環(huán)境引用

◆Hibernate綁定

◆會話

◆服務

◆部署器

◆攔截器

◆等

該文件是jBPM分發(fā)包的一部分。如果用戶想增加自己的綁定（binding），他可以創(chuàng)建jbpm.user.wire.bindings.xml描述 它們，而不用修改jbpm.wire.bindings.xml文件。

這兩個文件會被jBPM PVM在啟動時讀入并解析，為定義在jbpm.cfg.xml中的基礎PVM執(zhí)行（execution）配置而服務。jbpm.cfg.xml一般會包含 多個部分，描述了PVM執(zhí)行的特定組件的配置。

jBPM PVM由一組提供PVM功能的服務組成[4]。主要的PVM服務包括：

◆倉儲服務，提供一組查看和管理部署倉儲的方法

◆執(zhí)行服務，提供一組查看和管理運行中流程執(zhí)行（execution）的方 法。

◆管理服務，提供一組查看和管理工作（job）的方法

◆任務服務，提供一組查看和管理用戶任務（task）的方法。

◆歷史服務，提供一組訪問運行中和已完成流程執(zhí)行的歷史信息的方法。

這組可用服務和實現(xiàn)這些服務的類（使用前面說的綁定）被配置成流程引擎的上下文。

服務執(zhí)行被實現(xiàn)成一組命令（command），它們作為服務方法執(zhí)行的一部分被調用。命令的實際執(zhí)行由命令服務控制。

命令服務在命令服務上下文中被配置成一組攔截器，實現(xiàn)橫切關注點，環(huán)繞（around）命令調用（命令執(zhí)行管線）。缺省的jBPM分發(fā)包在命令執(zhí)行管線中 攜帶了以下攔截器：

◆重試（Retry）攔截器負責重試命令執(zhí)行

◆環(huán)境（Environment）攔截器負責在必要時把jBPM上下文注入命 令執(zhí)行中

◆事務（Transaction）攔截器負責介入命令調用的事務邊界劃分。

攔截器是將jBPM移植到不同環(huán)境以及引入其他橫切關注點的核心機制。

命令執(zhí)行一般會利用環(huán)境，它也是可配置的。典型的環(huán)境組件有：

◆倉儲會話

◆DB會話

◆消息會話

◆定時器會話

◆歷史會話

◆郵件會話

可以添加其他會話來擴展PVM的功能。

最后，部署管理器配置允許指定一組部署器，它們依次執(zhí)行，把業(yè)務流程部署到PVM。這種方法使得擴展流程定義可以通過實現(xiàn)額外的部署步驟完成，無需覆蓋 jBPM分發(fā)包自帶的部署器。

整個PVM的架構如圖1示：

圖 1 PVM架構

#p#

在流程定義中引入授權

我們在圖2中看到，可以給流程定義添加任意屬性。利用這種擴展選項，我們現(xiàn)在定義以下流程屬性，描述授權策略：

◆starter-users，具有“starter”角色的用戶列表

◆starter-groups，具有 “starter”角色的組列表

◆user-users，具有“user”角色的用戶列表

◆user-groups，具 有“user”角色的組列表

每個屬性的值是逗號分隔的組/用戶id列表。

圖 2 流程定義模式

此外，我們還定義了一個特殊的用戶類型——“any”和兩個用戶組——“all”和“admin”。任何用戶，不論其真實ID是什么，都是“any”用 戶。任何組，不論其ID是什么，也都是“all”。最后，“admin”組的成員被認為是任意組的成員。

流程授權定義由以下規(guī)則驅動：

◆如果user-users和user-groups都未被指定，則user-users=”all”

◆如果 starter-users和starte-groups都未被指定，則流程用戶被額外地分配“starter”角色。

按照這個規(guī)則，清單1中的流程可以被任何人啟動和使用。

<process package="com.navteq.jbpm" 
         key="NO_AUTHORIZATION" 
         name="Test Authorization not required" 
         version="1" 
         xmlns="http://jbpm.org/4.0/jpdl"> 
    <start g="68,14,48,48" name="start"> 
        <transition to="end"/> 
    </start> 
    <end g="78,383,48,48" name="end"/> 
</process> 
 

清單 1 沒有授權信息的流程定義

清單2的流程可以被mark或tomcat組中的任何人使用和啟動。

<process package="com.navteq.jbpm" 
         key="AUTHORIZATION" 
         name="Test Authorization Required" 
         version="1" 
         xmlns="http://jbpm.org/4.0/jpdl" 
         user-users="mark" 
         user-groups="tomcat"> 
    <start g="68,14,48,48" name="start" > 
        <transition to="end"/> 
    </start> 
    <end g="78,383,48,48" name="end"/> 
</process> 

清單 2 具有用戶授權信息的流程定義

我們引入了一個新類——ACL，針對給定流程 （processDefinitionID，processDefinitionKey，DeploymentID），它包含一個單獨的訪問列表（用戶或 組，以及類型）；同時還引入了相應的Hibernate定義。

圖3中，清單1的流程部署為具有兩個角色（“user”和“starter”）的用戶“any”創(chuàng)建了2個ACL；而在圖4中，清單2的流程部署將創(chuàng)建4 個——用戶“mark”和組“tomcat”，每個都具有2個角色：“user”和“starter”。

圖 3 無授權信息的流程的ACL

圖 4 有用戶授權信息的流程的ACL

這些ACL的生成是通過引入額外的部署器完成的，它將在“標準”jBPM部署器之后運行，抽取上面描述的授權屬性，為給定流程構建ACL。

#p#

保護jBPM命令

我們采用了一種通用的方法來保護jBPM命令，包括實現(xiàn)用于定義命令所需授權信息的自定義的注解，以及處理這個注解的自定義的授權會話（命令攔截器）實現(xiàn)。

授權注解（清單3）可以指定所需的用戶角色和表示某個流程的方法。

@Retention(value=RetentionPolicy.RUNTIME)  
@Target(value=ElementType.METHOD)  
public @interface AuthorizedCommand {  
    /** Access type */ 
    public String role();  
    String key();  
}  
 

清單 3 授權注解

對于某個流程，用戶角色——“starter”或“user”——指向某個用戶應該擁有的角色[6]。由于不同命令既可以引用部署ID，也可以引用流程ID或者流程鍵值，因此注解支持多種指定鍵值的方式，允許將合適的引用指定為鍵值。

清單4的授權攔截器檢查是否有命令的方法被授權注解修飾。如果有，則執(zhí)行適當?shù)牟樵儯_定出哪些用戶和用戶組集合被授權給了這個命令，然后檢查當前用戶是 否屬于他們。

…………  
 
@SuppressWarnings("unchecked")  
public void checkPermission(Command<?> command, EnvironmentImpl environment) {  
    environment.setAuthenticatedUserId(environment.get(AuthorizationIdentitySession.class).getAuthenticatedUserId());  
    for( Method method : command.getClass().getMethods()) {  
        AuthorizedCommand sc = method.getAnnotation(AuthorizedCommand.class);  
        if(sc != null){  
            log.debug("Checking Class based Secured Function");  
            String ID = environment.get(AuthorizationIdentitySession.class).getAuthenticatedUserId();  
            Object value = null;  
            try {  
                log.debug("Checking authorization: " + command.getClass().getName());  
                Session session = environment.get(SessionImpl.class);  
                value = method.invoke(command, (Object[])null);  
                Query uQ = session.createQuery(userQuery.get(sc.key())).  
                setString("role", sc.role()).setString("value",(String) value);  
                Query gQ = session.createQuery(groupQuery.get(sc.key())).  
                setString("role", sc.role()).setString("value", (String) value);  
                List<String> userIds = (List<String>)uQ.list();  
                List<String> groups = (List<String>)gQ.list();  
                if(!isAuthorized(environment, userIds, groups))   
                    throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);  
            } catch (IllegalArgumentException e) {  
                log.error("Caught " + IllegalArgumentException.class, e);  
                throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);  
            } catch (IllegalAccessException e) {  
                log.error("Caught " + IllegalAccessException.class, e);  
                throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);  
            } catch (InvocationTargetException e) {  
                log.error("Caught " + InvocationTargetException.class, e);  
                throw new AccessControlException(ID+" attempted access to ProcessDefinition #"+value);  
            }  
        }    
    }  
    return;  
}  
 
……………………  
 
public boolean isAuthorized(EnvironmentImpl env, List<String> authorizedUserIds, List<String> authorizedGroupIds) {  
    AuthorizationIdentitySession identitySession = env.get(AuthorizationIdentitySession.class);  
    if (authorizedUserIds.contains(AuthorizationIdentitySession.ANONYMOUS_USER_ID))   
        return true;  
    if (authorizedUserIds.contains(identitySession.getAuthenticatedUserId()) )   
        return true;  
    //check if any of userGroups is an authorized group.  if so then return true  
    List<Group> groups = identitySession.findGroupsByUser(identitySession.getAuthenticatedUserId());  
    for(Group group : groups){  
        String g = group.getId();  
        //admin is allowed to execute any command  
        if(g.equals(AuthorizationIdentitySession.ADMINISTRATORS_GROUP))  
            return true;  
        if(authorizedGroupIds.contains(g))  
            return true;  
    }  
    return false;  
}  
 

清單 4 授權攔截器

為了保護命令實現(xiàn)，我們創(chuàng)建了一個新類，它擴展了現(xiàn)有的命令，增加了一個帶注解的方法（清單5），返回給定命令可用的鍵值。

@AuthorizedCommand(role = ACL.STARTER, key = NavteqAuthorizationSession.PROCESSID)  
public String getProcessDefinitionKey() {  
   return processDefinitionId;  
} 

清單 5 給啟動流程實例命令引入授權信息

根據(jù)所提議的方法，我們對下列命令進行了注解：

◆刪除部署

◆啟動流程實例

◆啟動最近的流程實例

◆結束流程實例

◆刪除流程實例

#p#

擴展查詢

引入授權意味著查詢結果應該只返回用戶被授權查看的信息[7]。這可以通過擴展現(xiàn)有查詢的where語句實現(xiàn)（清單6）。

//check authorization  
String userId = EnvironmentImpl.getCurrent().getAuthenticatedUserId();  
List<Group> userGroups = EnvironmentImpl.getCurrent().get(IdentitySession.class).findGroupsByUser(userId);  
 
hql.append(", " + ACL.class.getName() + " as acl ");  
appendWhereClause("acl.deployment=deployment and acl.type='" +   
                  ACL.STARTER +   
                  "' ", hql);  
appendWhereClause("((acl.userId in " +   
                  Utils.createHqlUserString(userId) +   
                  ") or " +   
                  "(acl.groupId in " +   
                  Utils.createHqlGroupString(userGroups) + "))   
                  ", hql);  

清單 6 為流程定義查詢提供授權支持的額外where語句

額外的where語句是通過擴展現(xiàn)有查詢實現(xiàn)和覆蓋hlq方法實現(xiàn)的。

按照這種方法，擴展了以下查詢：

◆部署查詢

◆流程定義查詢

◆流程實例查詢

◆歷史流程實例查詢

◆歷史活動 查詢

◆歷史細節(jié)查詢

為了能夠增加字符串實例變量，以縮小查詢結果，我們還額外擴展了一個流程實例查詢。

#p#

支持多種用戶管理方式

以上給出的實現(xiàn)依賴使用執(zhí)行環(huán)境來獲得當前用戶ID和使用IdentitySession來獲得用戶組成員關系。jBPM分發(fā)包提供了這個接口的2個實現(xiàn)：

◆IdentitySessionImpl，基于jBPM的用戶/組數(shù)據(jù)庫

◆JBossIdmIdentitySessionImpl， 基于JBoss Identity IDM組件

不同于大量依賴其他技術的實現(xiàn)，對于我們的實現(xiàn)，我們決定把用戶ID/組的獲取同這些信息的保存分離開來，使之可以被其他的jBPM實現(xiàn)利用（圖5）。

圖 5 用戶管理實現(xiàn)

為了確保在設定和重新設定用戶證書的時候環(huán)境是可用的，我們把這兩個操作實現(xiàn)成了命令（清單7），這樣，借助jBPM命令執(zhí)行服務就可以正確設置執(zhí)行環(huán)境。

public static class SetPrincipalCommand extends AbstractCommand<Void> {  
    private static final long serialVersionUID = 1L;  
    private String userId;  
    private String[] groups;  
    public SetPrincipalCommand(String u, String...groups) {  
        this.userId=u; this.groups=groups;  
    }  
    public Void execute(Environment environment) throws Exception {  
        environment.get(AuthorizationIdentitySession.class).setPrincipal(userId,groups);  
        return null;  
    }  
}  
 
public static class ResetPrincipalCommand extends AbstractCommand<Void> {  
    private static final long serialVersionUID = 1L;  
    public Void execute(Environment environment) throws Exception {  
        environment.get(AuthorizationIdentitySession.class).reset();  
        return null;  
    }  
}  
 

清單 7 設置用戶證書命令

#p#

把新命令和查詢引入到jBPM執(zhí)行中

由于jBPM并沒有提供任何配置“命令——服務”關系的支持，為了能改變給定服務中的命令，就必須使用調用新命令的新服務實現(xiàn)覆蓋舊實現(xiàn)。清單8給出了一個使用新命令服務覆蓋歷史服務的例子。

public class NavteqHistoryServiceImpl extends HistoryServiceImpl {  
    @Override 
    public HistoryActivityInstanceQuery createHistoryActivityInstanceQuery() {  
      return new AuthorizedHistoryActivityInstanceQueryImpl(commandService);  
    }  
 
    @Override 
    public HistoryDetailQuery createHistoryDetailQuery() {  
        return new AuthorizedHistoryDetailQueryImpl(commandService);  
    }  
 
    @Override 
    public HistoryProcessInstanceQuery createHistoryProcessInstanceQuery() {  
        return newAuthorizedHistoryProcessInstanceQuery(commandService);  
    }  
}  
 

清單 8 在歷史服務中引入授權命令

總結

本文給出的這部分實現(xiàn)[8]并沒有擴展JPDL，而是擴展了被jBPM支持的所有語言都使用的JBoss PVM[9]。結果是，這些語言都能夠使用這個實現(xiàn)。

致謝

我要感謝NAVTEQ的同事，尤其是Mark Kedzierski和我一起討論了整個設計和大部分代碼的實現(xiàn)，以及Stefan Balkowec、Vlad Zhukov、Eugine Felds和Catalin Capota在定義整個解決方案中的幫助。 

【編輯推薦】

1. jBPM應用開發(fā)指南
2. jBPM實現(xiàn)高級交互模式詳解
3. Java工作流管理系統(tǒng)jBPM 4.3發(fā)布 支持BPMN 2.0
4. jBPM4.1發(fā)布 改進多項Tomcat支持
5. 淺談jBPM4與Spring整合的2種方式