新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   XML论坛     W3CHINA.ORG讨论区     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> Aspect-Oriented Analysis, Aspect-Oriented Design, Aspect-Oriented Programming,
    [返回] 中文XML论坛 - 专业的XML技术讨论区计算机技术与应用『 面向方面的程序设计(AOP) 』 → [转帖]AOP与权限控制实现 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 27627 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: [转帖]AOP与权限控制实现 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     admin 帅哥哟,离线,有人找我吗?
      
      
      
      威望:9
      头衔:W3China站长
      等级:计算机硕士学位(管理员)
      文章:5255
      积分:18406
      门派:W3CHINA.ORG
      注册:2003/10/5

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给admin发送一个短消息 把admin加入好友 查看admin的个人资料 搜索admin在『 面向方面的程序设计(AOP) 』 的所有贴子 点击这里发送电邮给admin  访问admin的主页 引用回复这个贴子 回复这个贴子 查看admin的博客楼主
    发贴心情 [转帖]AOP与权限控制实现

    AOP与权限控制实现
    [URL=http://www.jdon.com/aboutme.htm]板桥里人[/URL] http://www.jdon.com 2004/01/10

      以往在J2EE系统中,访问权限控制系统的实现主要有两种:应用程序实现和J2EE容器实现。

    传统的应用程序实现

      这是最直接的、传统的一种解决方式,通常是在具体方法前加一个权限判断语句,如下:

    public class ForumFactoryProxy extends ForumFactory {
      ......
      public Forum createForum(String name, String description)
        throws UnauthorizedException, ForumAlreadyExistsException
      {
        if (permissions.get(ForumPermissions.SYSTEM_ADMIN)) {
          Forum newForum = factory.createForum(name, description);
          return new ForumProxy(newForum, authorization, permissions);
        }else {
          throw new UnauthorizedException();
        }
      }
      ......
    }

      上述代码是Jive论坛中一段创建论坛功能的代码,在创建论坛前,首先进行权限角色检验,如果当前用户是系统管理员,那么可以实现真正的创建。

      这种在具体功能前加入权限操作检验的实现方式有很多缺点:
      1.每个功能类都需要相应的权限检验代码,将程序功能和权限检验混淆在一起,存在紧密的耦合性,扩展修改难度大。
      2.如果类似Jive,以代理模式为每个功能类实现一个相应的代理类,虽然解耦了程序功能和权限检验,但是,从某个角色的权限检验这个切面考虑,涉及具体Proxy类太多,扩展修改难度大。

    J2EE容器实现

      在AOP概念没有诞生前,J2EE规范已经提供了关于权限控制的容器实现标准,这种变迁结果如下图所示:

    按此在新窗口浏览图片

      原来需要每个应用程序实现的权限Proxy转为整个容器的Proxy实现,其中JDK1.3以后的动态代理API为这种转换实现提供了技术保证。

      非常明显,通过容器实现权限控制验证可以大大简化应用程序的设计,分离了应用系统的权限关注,将权限控制变成了对J2EE容器服务器的配置工作,具体技术细节参考我的书籍《[URL=http://www.jdon.com/mybook/front.htm]Java实用系统开发指南[/URL]》第六章。

      其实,容器的权限实现也是一种从一个切面来解决问题方式,AOP概念诞生后,权限控制实现由此也带来了两个方向的变化:
      1. J2EE容器级别的权限实现,也就是容器自身的权限实现。
      2. J2EE应用程序级别的权限实现。

      权限控制在容器级别实现似乎使得J2EE开发者感觉没有灵活性和可扩展性,其实象JBoss 4.0这样的J2EE容器,由于引入了AOP概念,使得J2EE开发者在自己的应用系统中能够直接操纵容器的一些行为。容器和应用系统由于AOP引入的Aspect切面,变得可以成为一体了。(如果使用BEA的EJBC编辑要浪费多少时间?)

      对于J2EE应用系统开发者,能够做到上述境界,必须的条件是对JBoss之类J2EE容器必须有足够的了解,因为这些方式并不是J2EE标准,有可能在移植到新的J2EE容器,这些知识和投入变得无用(也有可能将来J2EE扩展其标准)。

      很显然,使用AOP实现J2EE应用系统级别的权限控制,是解决上述移植风险的一个主要方法,但是带来的缺点是必须亲自从零开始做起,耗费时间不会很短。

    AOP下的应用程序权限控制实现

      引入AOP概念后的权限实现已经不是前面Jive实例那样“落后”,我们对这个实例进行重整(Refactorying)如下:

    创建一个Aspect,专门用于权限检查,如下:

    private static aspect PermissionCheckAspect {

      private pointcut permissionCheckedExecution() :
       execution ( public Forum ForumFactory.createForum(String , String ));

    [B]  [/B]before () : permissionCheckedExecution() {
        if !(permissions.get(ForumPermissions.SYSTEM_ADMIN)) {
          throw new UnauthorizedException();
        }
       [B][/B]}

    }

    该段代码功能是:当系统运行ForumFactory.createForum方法之前,将首先检查是否有权限操作。

    代码中pointcut触发的条件是createForum方法执行,如果有其它需要系统管理员身份才能执行的方法加入,将写成如下代码:

    private pointcut permissionCheckedExecution() :
       execution ( public Forum ForumFactory.createForum(String , String )) ||
    [B]   [/B]execution ( public Forum ForumFactory.deleteForum(String , String )) ||
       [B][/B]......
    [B]   [/B]execution ( public Forum ForumFactory.deleteThread(String , String ));

    这些方法陈列比较琐碎,依据AspectJ语法,可以简化如下:
    private pointcut permissionCheckedExecution() :
       execution ( public * ForumFactory .*(..));

    有兴趣者可以将Jive论坛中相关权限Proxy部分使用AOP重整,另外,由于Jive没有引入角色概念,导致权限和用户HardCode在编码中,如何实现权限和用户解耦,最小限度的降低HardCode量,角色概念在其中起着不可忽视的重要作用。这是另外一个研究课题了。


       收藏   分享  
    顶(0)
      




    ----------------------------------------------

    -----------------------------------------------

    第十二章第一节《用ROR创建面向资源的服务》
    第十二章第二节《用Restlet创建面向资源的服务》
    第三章《REST式服务有什么不同》
    InfoQ SOA首席编辑胡键评《RESTful Web Services中文版》
    [InfoQ文章]解答有关REST的十点疑惑

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2004/9/3 13:54:00
     
     lywzd 帅哥哟,离线,有人找我吗?
      
      
      等级:大二期末(C++考了100分!)
      文章:69
      积分:324
      门派:XML.ORG.CN
      注册:2005/10/31

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给lywzd发送一个短消息 把lywzd加入好友 查看lywzd的个人资料 搜索lywzd在『 面向方面的程序设计(AOP) 』 的所有贴子 点击这里发送电邮给lywzd 引用回复这个贴子 回复这个贴子 查看lywzd的博客2
    发贴心情 
    鼓掌
    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2005/11/4 13:27:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 面向方面的程序设计(AOP) 』 的所有贴子 点击这里发送电邮给Google AdSense 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/11/11 1:03:14

    本主题贴数2,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    6,437.012ms