AOP与权限控制实现

原创 2004年12月30日 16:39:00

AOP与权限控制实现

板桥里人 http://www.jdon.com 2004/01/10

  以往在J2EE系统中,访问权限控制系统的实现主要有两种:应用程序实现和J2EE容器实现。

传统的应用程序实现

  这是最直接的、传统的一种解决方式,通常是在具体方法前加一个权限判断语句,如下:

public class ForumFactoryProxy extends ForumFactory {
  ......
  public Forum createForum(String name, String description)
    throws UnauthorizedException, ForumAlreadyExistsException
  {
    if (permissions.get(ForumPermissions.SYSTEM_ADMIN)) {
      Forum newForum = factory.createForum(name, description);
      return new ForumProxy(newForum, authorization, permissions);
    }else {
      throw new UnauthorizedException();
    }
  }
  ......
}

  上述代码是Jive论坛中一段创建论坛功能的代码,在创建论坛前,首先进行权限角色检验,如果当前用户是系统管理员,那么可以实现真正的创建。

  这种在具体功能前加入权限操作检验的实现方式有很多缺点:
  1.每个功能类都需要相应的权限检验代码,将程序功能和权限检验混淆在一起,存在紧密的耦合性,扩展修改难度大。
  2.如果类似Jive,以代理模式为每个功能类实现一个相应的代理类,虽然解耦了程序功能和权限检验,但是,从某个角色的权限检验这个切面考虑,涉及具体Proxy类太多,扩展修改难度大。

J2EE容器实现

  在AOP概念没有诞生前,J2EE规范已经提供了关于权限控制的容器实现标准,这种变迁结果如下图所示:

  原来需要每个应用程序实现的权限Proxy转为整个容器的Proxy实现,其中JDK1.3以后的动态代理API为这种转换实现提供了技术保证。

  非常明显,通过容器实现权限控制验证可以大大简化应用程序的设计,分离了应用系统的权限关注,将权限控制变成了对J2EE容器服务器的配置工作,具体技术细节参考我的书籍《Java实用系统开发指南》第六章。

  其实,容器的权限实现也是一种从一个切面来解决问题方式,AOP概念诞生后,权限控制实现由此也带来了两个方向的变化:
  1. J2EE容器级别的权限实现,也就是容器自身的权限实现。
  2. J2EE应用程序级别的权限实现。

  权限控制在容器级别实现似乎使得J2EE开发者感觉没有灵活性和可扩展性,其实象JBoss 4.0这样的J2EE容器,由于引入了AOP概念,使得J2EE开发者在自己的应用系统中能够直接操纵容器的一些行为。容器和应用系统由于AOP引入的Aspect切面,变得可以成为一体了。(如果使用BEA的EJBC编辑要浪费多少时间?)

  对于J2EE应用系统开发者,能够做到上述境界,必须的条件是对JBoss之类J2EE容器必须有足够的了解,因为这些方式并不是J2EE标准,有可能在移植到新的J2EE容器,这些知识和投入变得无用(也有可能将来J2EE扩展其标准)。

  很显然,使用AOP实现J2EE应用系统级别的权限控制,是解决上述移植风险的一个主要方法,但是带来的缺点是必须亲自从零开始做起,耗费时间不会很短。

AOP下的应用程序权限控制实现

  引入AOP概念后的权限实现已经不是前面Jive实例那样“落后”,我们对这个实例进行重整(Refactorying)如下:

创建一个Aspect,专门用于权限检查,如下:

private static aspect PermissionCheckAspect {

  private pointcut permissionCheckedExecution() :
   execution ( public Forum ForumFactory.createForum(String , String ));

  before () : permissionCheckedExecution() {
    if !(permissions.get(ForumPermissions.SYSTEM_ADMIN)) {
      throw new UnauthorizedException();
    }
   }

}

该段代码功能是:当系统运行ForumFactory.createForum方法之前,将首先检查是否有权限操作。

代码中pointcut触发的条件是createForum方法执行,如果有其它需要系统管理员身份才能执行的方法加入,将写成如下代码:

private pointcut permissionCheckedExecution() :
   execution ( public Forum ForumFactory.createForum(String , String )) ||
   execution ( public Forum ForumFactory.deleteForum(String , String )) ||
   ......
   execution ( public Forum ForumFactory.deleteThread(String , String ));

这些方法陈列比较琐碎,依据AspectJ语法,可以简化如下:
private pointcut permissionCheckedExecution() :
   execution ( public * ForumFactory .*(..));

有兴趣者可以将Jive论坛中相关权限Proxy部分使用AOP重整,另外,由于Jive没有引入角色概念,导致权限和用户HardCode在编码中,如何实现权限和用户解耦,最小限度的降低HardCode量,角色概念在其中起着不可忽视的重要作用。这是另外一个研究课题了。

springAOP与自定义注解实现细粒度权限控制管理

IOC与AOP无疑是spring的核心,提供了非常强大的功能,这两个思想为我们开发带来了巨大的方便。 这里我们aop简单实现一些权限控制,用到的aop提供的环绕通知,至于spring提供了那些通知,...
  • s8460049
  • s8460049
  • 2016年08月11日 14:46
  • 4278

spring AOP + 自定义注解实现权限控制小例子

今天看了一下黑马程序员的视频,上面讲到一个使用spring AOP + 自定义注解的方式来实现权限控制的一个小例子,个人觉得还是可以借鉴,整理出来与大家分享。需求:service层有一些方法,这些方法...
  • Minhellic
  • Minhellic
  • 2016年07月15日 17:29
  • 9155

使用拦截器或者AOP实现权限管理(OA系统中实现权限控制)

使用拦截器或者AOP实现权限管理(OA系统中实现权限控制)
  • canot
  • canot
  • 2016年02月08日 21:22
  • 6883

Spring AOP自定义注解实现权限控制

在学习Java Spring框架中,学习到AOP的过程中,有一个很难理解的问题就是:自定义注解,然后解析注解实现权限控制。           权限控制:因为在一些项目中,service层的一些方...
  • xzp_12345
  • xzp_12345
  • 2017年09月19日 18:54
  • 341

基于SpringAOP实现数据权限控制

基于SpringAOP实现数据权限控制 在此主要是实现对用户查询数据返回字段的控制。比如一个表格有A,B,C,D,E五列,用户U1只能查看A,B,C三列。 此文章讲述的内容并不能实现在查询时仅查询...
  • jaune161
  • jaune161
  • 2018年01月05日 19:24
  • 121

基于AOP实现权限管理:访问控制模型RBAC和ACL

权限、日志是系统必不可少的的功能,将这些通用的东西抽出来,以AOP方式切入系统中,可以得到非常高的复用率。 在OA中,接触了ACL(access control list)模型的权限设计。在...
  • Dereck01
  • Dereck01
  • 2015年08月19日 13:57
  • 365

Spring AOP 实现功能权限校验功能

实现功能权限校验的功能有多种方法,其一使用拦截器拦截请求,其二是使用AOP抛异常。 首先用拦截器实现未登录时跳转到登录界面的功能。注意这里没有使用AOP切入,而是用拦截器拦截,因为AOP一般切入的是...
  • houxuehan
  • houxuehan
  • 2016年06月23日 17:11
  • 8060

AOP与权限控制实现

 以往在J2EE系统中,访问权限控制系统的实现主要有两种:应用程序实现和J2EE容器实现。传统的应用程序实现这是最直接的、传统的一种解决方式,通常是在具体方法前加一个权限判断语句,如下: ...
  • happyxyzw
  • happyxyzw
  • 2007年07月17日 14:19
  • 535

Spring AOP 实现用户权限验证

每个项目都会有权限管理系统 无论你是一个简单的企业站,还是一个复杂到爆的平台级项目,都会涉及到用户登录、权限管理这些必不可少的业务逻辑。有人说,企业站需要什么权限管理阿?那行吧,你那可能叫静...
  • liyongshun82
  • liyongshun82
  • 2016年10月11日 12:53
  • 306

基于spring security及spring aop的权限控制

首先,获取spring security的当前用户: http://blog.csdn.net/tomcat_2014/article/details/50725723 .Java代码中使用 ...
  • silyvin
  • silyvin
  • 2017年06月15日 16:25
  • 548
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:AOP与权限控制实现
举报原因:
原因补充:

(最多只允许输入30个字)