使用JBoss jBPM实现流程访问和执行的授权

使用JBoss jBPM实现流程访问和执行的授权2011-08-09 infoq 译:胡键当今常见的BPM趋势是集中化整个公司或公司内大部门的BPM执行。这意味着，单个BPM服务器（集群）运行着整个公司的许多流程定义。这种方式的挑战在于，虽然BPM引擎（包括jBPM）提供了对于任务访问的授权，但它们一般都不支持这些功能的授权：流程定义的查看和删除，流程实例的启动、结束、查看和删除等。在这篇文章中，我们将描述如何对jBPM引擎进行扩展（基于jBPM 4.3）来实现这一功能。

整体实现方法

整个实现方式相当直接了当——对于每个流程定义引入一组可以授权的用户/用户组（类似任务定义），作用于定义、实例和给定流程的历史。此外，我们还想对给定的用户/用户组支持多重授权级别——目前我们打算引入2个角色：“starter”和“user”。这里的“starter”是允许对流程定义/实例 /历史进行任何操作的角色，而“user”角色的权限仅限于查询流程/历史。

这种方式的实现需要对jBPM进行以下改造：

流程定义

给流程定义增加流程访问权限

流程部署

扩展当前的流程部署器，增加流程授权定义的解析和流程访问列表的生成

引入额外的类/数据库表，存放每个流程定义的访问权限

流程执行（Execution）

引入已授权命令（authorized command）——要求用户经过授权才能执行的命令

修改现有的jBPM中我们期望基于当前用户证书进行授权的部分。这包括启动、结束和删除流程实例，以及删除部署定义。

修改现有的jBPM查询，考虑现有用户的证书。这包括部署和流程定义查询、流程实例查询，以及历史流程实例、活动和细节的查询。

除了以上更改，我们还想扩展流程实例查询，好让用户可以通过指定某些流程变量的值来缩小查询结果。这种搜索的一个常见情况就是查询“由我启动的”流程。为了确保这种查询总是可用，我们更改了启动流程实例命令的实现，显式地把当前用户ID加到了流程变量值的集合中。

最后，为了支持多种用户认证方法，我们实现了一个自定义的身份会话，它支持用程序来设置和访问当前用户的证书。其目的在于，把用户证书（ID和参与的组）的获得和jBPM运行时对这种信息的使用分离开来。

我们的实现利用了非常强大和灵活的jBPM 4的配置机制，它让我们可以：

通过扩展现有jBPM类，最小化了自定义代码的数量，只实现我们扩展所需的额外功能

将我们的扩展实现成可以与jBPM 4类库一起使用的单独jar包，无需对现有库进行任何改变。

在深入我们的实现细节之前，我们首先要讨论一下我们大量使用的jBPM 4的配置。