AOP分离权限关注 - 补遗

最新推荐文章于 2021-05-15 09:31:56 发布
最新推荐文章于 2021-05-15 09:31:56 发布
阅读量2.7k 收藏
点赞数
分类专栏: java 文章标签: aop domain user object exception blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mechiland/article/details/49528
版权

昨天的Blog中我描述了使用AOP分离权限关注的基本做法。回家仔细想了想,把思考的结果补充一下。

我们知道,在基本的RBAC模型中有以下基本(接口)对象:Domain, Group, User, Role, Privilege, Operation, Resource以及对外的SecurityManager。Privilege通过Operate Resource而产生,Role则对应若干个Privilege。不同的Domain, Group, User拥有不同数量的Role,其中User的Role可以继承自Group,也可以继承自Domain;Group的权限可以继承自Domain。对外表现时,可以简单地通过SecurityMananger.checkPermission(User,  Privilege)的返回值true/false进行判断。上面每个对象都是接口,SecurityManager可以通过IoC反向注入,从而使得这种权限模型的使用比较灵活。

在实际情况中,这种权限系统中Resource的定义方法与粒度最难以控制。不同的业务系统中可能有不同的定义方式。而且这种方式的交流非常不方便。以一个普通的“科研项目管理”项目为例:系统中需要进行权限控制的东西可能有:用户信息(增删改查),项目信息(增删改查),日志信息(查看,统计)等等。这种权限的控制如果按照垂直编程的方式来写,需要进行以下工作:

研究:需要控制的资源到底是什么?用户信息?项目信息?这些东西如何表现?这个问题在这种模型中很难考虑清楚。最终的结果往往是,使用没有Resource接口的权限模型,形成一份新的文档:权限代码以及对应说明表。每个编程人员在编写相应的业务逻辑时,都需要参考这个表,并将程序中加上一序列的if --- else来判断权限。这种做法无疑是危险的。因为一旦权限代码发生变动, 这个业务方法马上得重写。稍微考虑不难知道,这种方法根本不可取:连基于URI的解决方案都不如。

可以看到,像用户信息、项目信息等等,都是业务对象,这些业务对象对于人是可理解的,但将这些业务对象作为RBAC中的资源是不合理的。因此我提出一种新的资源概念:将具体业务类、业务方法作为RBAC模型中的资源。这样才能够真正脱离权限与业务逻辑。具体做法是:将所有的业务方法名称以及对应的角色名称存入到XML文件或者数据库中,形成一个Resource库:

Method                   Role
------------------------------------------
UserManager.*            UserManager
UserManager.update       UserManager
UserManager.update       User
LogInfo.view             *
LogInfo.statistics       LogManager
...                      ...
------------------------------------------

对于权限的判断,可以在RBAC的具体实现中进行。这里假定有一个SecurityManager.checkPermission(User, Privilege)(这里的Privilege实际上就是能否执行特定业务方法)的方法。根据这个方法,制作一个Aspect:

public class PermissionCheckAdvice implements MethodBeforeAdvice {
    public void before(Method arg0, Object[] arg1, Object arg2)  throws Throwable {
          if (!SecurityManager.checkPermission(User, Privilege)) {
                throws new PermissionDeniedException(User, Privilege);
          }
    }
}

然后使用AOP将这个Advice应用到所有的业务方法(类或者方法可能在具有普遍意义的一个package中,也可能具有一定正则意义),并截获所有的PermissionDeniedException:

public class PermissionThrowsAdvice implements ThrowsAdvice {
    public void afterThrowing(Method method, Object[] args, Object target,
            Throwable subclass) {
        //对Permission Denied Exception进行自己的处理。
    }

}

对应的Spring Beans配置请参考我的上一Blog。

AOP分离权限关注的文字到此截至,有些比较重要但是来不及完成的如SecurityManager如何引入,上下文环境如何取得等等,可能需要各位自行完成了。这里提出的是一种将Method作为资源的概念,希望对做权限系统的同仁有所帮助。

我的Blog: http://www.webuc.net/mechiland

mechiland
关注
专栏目录
aop:aspectj-autoproxy
悟已往之不谏,知来者之可追
10-13 2659
aop:aspectj-autoproxy 此标签用以开启对于@AspectJ注解风格AOP的支持。 属性 proxy-target-class 你懂的。 expose-proxy 是否应该把代理对象暴露给AopContext,默认false。 栗子 切面 @Aspect public class AspectDemo { @Pointcut("execution(void base.aop.AopDemo.send(..))") public void beforeSend() {}
WPF 客户端实现 AOP 和接口缓存
qq_39652397的博客
03-01 792
随着业务越来越复杂,最近决定把一些频繁查询但是数据不会怎么变更的接口做一下缓存,这种功能一般用 AOP 就能实现了,找了一下客户端又没现成的直接可以用,嗐,就只能自己开发了。 代理模式和AOP 理解代理模式后,对 AOP 自然就手到擒来,所以先来点前置知识。 代理模式是一种使用一个类来控制另一个类方法调用的范例代码。 代理模式有三个角色: ISubject 接口,职责是定义行为。 ISubject 的实现类 RealSubject,职责是实现行为。 ISubject 的代理类 ProxySubje
WPF wpf中按钮操作权限控制
weixin_34051201的博客
04-16 601
权限控制我们有很多种方式可以实现。 这次项目中做个简单的权限控制,我们在所有按钮触发前判断,有权限则可执行。 我们自定义一个命令类。 public class DelegateCommand : ICommand { Action _action; Func<bool> _canAction; string _...
前后端分离模式下的权限设计方案
良月柒
09-06 1679
程序员的成长之路互联网/程序员/成长/职场关注阅读本文大概需要 3.6 分钟。老惯例,昨天的头条是广告,今天的次条文末抢红包!作者:_liuxxcnblogs.com/...
权限设计的一些想法和思考
Java知音
06-06 275
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:crossmy.oschina.net/cloudcross/blog/1920706技术经验交流...
Spring AOP的proxy-target-class详解
蔡小波的博客
01-05 8750
proxy-target-class 该属性值默认为false,表示使用JDK动态代理织入增强;当值为true时,表示使用CGLib动态代理织入增强;但是,即使设置为false,如果目标类没有生命接口,则Spring将自动使用CGLib动态代理. proxy-target-class属性值决定是基于接口的还是基于类的代理被创建。 为true则是基于类的代理将起作用(需要cglib库), 为...
SpringAOP学习--SpringAOP简介及原理
u012098021的博客
05-15 6万+
前文对AOP做了介绍,实际项目中,一般不会直接上手手动实现aop,而是使用一些高级封装的aop实现,如SpringAOP。 Spring是一个广泛应用的框架,SpringAOP则是Spring提供的一个标准易用的aop框架,依托Spring的IOC容器,提供了极强的AOP扩展增强能力,对项目开发提供了极大地便利。 前文提到AOP的实现有AspectJ、JDK动态代理、CGLIB动态代理,SpringAOP不是一种新的AOP实现,其底层采用的是JDK/CGLIB动态代理。 JDK动态代理回顾 上一篇简单介绍了
【SpringBoot-3】切面AOP实现权限校验:实例演示与注解全解
热门推荐
云深不知处
10-26 6万+
何为AOPAOP的注解详解,AOP的使用详例,以上内容尽在本文
Spring5 框架 ---- AOP ---- 代码
09-12
Spring5 框架 ---- AOP ---- 代码 Spring5 框架 ---- AOP ---- 代码 Spring5 框架 ---- AOP ---- 代码 Spring5 框架 ---- AOP ---- 代码 Spring5 框架 ---- AOP ---- 代码 Spring5 框架 ---- AOP ---- 代码 Spring5 ...
aopalliance-repackaged-2.4.0-b34-API文档-中英对照版.zip
04-22
赠送jar包:aopalliance-repackaged-2.4.0-b34.jar; 赠送原API文档:aopalliance-repackaged-2.4.0-b34-javadoc.jar; 赠送源代码:aopalliance-repackaged-2.4.0-b34-sources.jar; 赠送Maven依赖信息文件:aop...
AOP流程源码分析-SpringAOP中定义的类图
最新发布
04-22
AOP流程源码分析-SpringAOP中定义的类图AOP流程源码分析-SpringAOP中定义的类图AOP流程源码分析-SpringAOP中定义的类图AOP流程源码分析-SpringAOP中定义的类图AOP流程源码分析-SpringAOP中定义的类图AOP流程源码分析...
aopalliance-repackaged-2.4.0-b34.jar
04-01
aopalliance-repackaged-2.4.0-b34.jar
aopalliance-1.0 jar包
04-27
在Java开发领域,AOP(Aspect Oriented Programming,面向切面编程)是一种强大的设计模式,它允许程序员将关注分离,比如日志、事务管理等横切关注点,从核心业务逻辑中解耦。aopalliance-1.0.jar是AOP Alliance...
前后端分离如何做权限控制设计?
Java技术栈,分享最主流的Java技术
08-07 2064
作者:薛҉定҉谔҉的҉猫҉ www.yuque.com/zhanghaofei/blog/xrpz9p 近几年随着react、angular、vue等前端框架兴起,前后端分离的架构迅速流行。但同时权限控制也带来了问题。 网上很多前、后端分离权限仅仅都仅仅在描述前端权限控制、且是较简单、固定的角色场景,满足不了我们用户、角色都是动态的场景。 且仅仅前端进行权限控制并不是真正意义的权限控制,它只是减少页面结构暴露、增强用户体验的功效。 场景 系统为后台管理系统,包含了用户创建、用户登录、用户管理自己的资源。.
Spindle3.0--终于等到了!Tapestry3.0的Eclipse PlugIn
mechiland的专栏
11-29 9078
Spindle3.0--终于等到了!Tapestry3.0的Eclipse PlugIn我一直以为Spindle不会在继续下去了。记得几个月前上SF的时候看见Spindle项目都停止了。然而Tapestry一如既往的速度缓慢。在若干个手写配置文件的日子之后,Spindle终于推出与Tapestry3.0相匹配的Spindle3.0版。现在Tapestry的追随者有福了,虽然手写配置
Spring AOP 实现权限校验:代码示例
"本文主要展示了如何使用Spring AOP来实现功能权限校验的示例代码,探讨了在权限管理中的两种常见方法:拦截器和AOP,并提供了使用拦截器实现未登录用户重定向到登录页面的示例。" 在Spring框架中,AOP(面向切面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值