`
sample0924
  • 浏览: 1018 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
最近访客 更多访客>>
文章分类
社区版块
存档分类
最新评论

AOP下的权限控制实现

阅读更多

来源:中国论文下载中心    [ 08-05-02 16:55:00 ]    作者:陈景燕 阳国贵    编辑:studa0714


面向方面的编程(AOP)是一种新的编程技术,它弥补了面向对象的编程(OOP)在跨越模块 行为上的不足。AOP引进了Aspect,它将影响多个类的行为封装到一个可重用模块中,它允许程序员对横切关注点进行模块化,从而消除了OOP引起的代码混乱和分散问题,增强了系统的可维护性和代码的重用性。本文分析传统权限控制的实现方法,并研究了在AOP下权限控制的实现方法。


1  OOP应用开发面临的问题
      面向对象技术很好地解决了软件系统中角色划分的问题。借助于面向对象的分析、设计和实现技术,开发者可以将问题领域的“名词”转换成软件系统中的对象,从而很自然地完成从问题到软件的转换。
     但是,问题领域的某些需求却偏偏不是用这样的“名词”来描述的。比如遇到这样的问题:需要对系统中的某些方法进行权限检验,这种需要权限检验的方法散布在40多个类中。面对这种需求,应该怎么办呢?最直接的办法就是:创建一个起类(或接口),将权限检验的功能放在其中,并让所有需要权限检验的类继承这个起类(或接口).如果这个需求是后期提出的.需要修改的地方就会分散在40多个文件中。这样大的修改量,无疑会增加出错的几率,并且加大系统维护的难度。
      人们认识到,传统的程序经常表现出一些不能自然地适合单个程序模块或者几个紧密相关的程序模块的行为例如权限检验、日志记录、对上下文敏感的错误处理、性能优化以及设计模式等等、我们将这种行为称为“横切关注点(crosscuttingconcern)”,因为它跨越了给定编程模型中的典型职责界限。如果使用过用于横切关注点的代码,您就会知道缺乏模块性所带来的问题。因为横切行为的实现是分散的,开发人员发现这种行为难以作逻辑思维、实现和更改。
2  AOP的基本思想
      AOP是Aspect Oriented Programming的缩写,意思是面向方面编程,一种新兴的编程技术。AOP实际是GoF设计模式的延续,设计模式孜孜不倦追求的是调用者和被调用者之间的解耦,AOP可以说也是这种目标的一种实现。它可以解决OOP和过程化方法不能够很好解决的横切(crosscut)问题,如:事务、安全、日志等横切关注。当未来系统变得越来越复杂,横切关注点就成为一个大问题的时候,AOP就可以很轻松的解决横切关注点这个问题。


通常,为满足整个企业应用某方面得需求,开发者(架构师)需要整理出系统得关注点。图 1(附件中,请下载attachment62.jpeg)形象地描述了关注点,它能够从AOP Aspect角度看待系统。比如,持久化、日志、应用的业务逻辑通常被认为是应用需要解决的问题。因此,他们通常作为关注点看待。从整个系统角度考虑,它往往是由大量的关注点构成的。
      我们把AOP看作是OOP的延续,而不是竞争对手。OOP在通常的场合下工作得很好,但在特定的领域里却有所欠缺:举例来说,如果我们必须为多个对象和方法应用相同的事务行为,我们需要将同样的代码剪切/粘贴到每一个方法里。AOP让我们可以把这类问题封装到方面(aspect)中,从而更好地实现模块化。AOP定义了“切入点”(pointcut)的概念,让开发者可以从另一个角度来思考程序的结构,从而弥补了OOP的某些缺陷:如果需要对一组方法施加横切的行为,就应该拦截这些方法。
      在J2EE应用开发中,我们主要用到AOP的拦截(interception)能力,它为我们提供了“在任何对象的方法调用前/后加入自定义行为”的能力,这使得我们可以处理企业应用中的横切(crosscutting)关注点(即:同时作用于多个对象的关注点),并且仍然保持强类型(不需要改变方法签名)。

3 权限控制的应用程序实现
       对于权限管理的做法,在WEB实现上,有以下几种:
⑴ 利用Filter,对所有进入的URI进行解析,并取得当时Session中的User信息,然后通过RBAC的机制,将此链接需要的权限与用户拥有的权限进行比较,然后进行相应的处理。这种做法有很多好处:简单,容易实现,并且对系统侵入性也不强。这里URL就是RBAC中的资源了。这样做的缺点是所有对数据的操作必须通过URL来体现,这一点在现代的程序中不太好实现。如果采用Struts, XWork或者Tapestry,采用同一个URL(浏览器看来)进行处理多项任务已不是什么稀奇的事。
⑵ 利用一个BaseServlet(Servlet+Jsp经典模式)或者BaseAction(Struts模式)或者BasePage(Tapestry模式)或者BaseController(SpringMVC模式),对所有的请求先进行过滤进行权限操作,然后再处理。稍微看一下就知道这种模式跟Filter并无本质不同。优缺点同上。
那么,如果要实现更为细致的权限操作,精确到某个方法的权限,典型的做法如下:
public someFunciton() {
  //权限判断
  User user = context.getUser();
  if (user.canExecuteThisFunction()) {
      // do the business method
      // ...
  } else {
     throw new PermissionDeniedException();
  }

}
这种做法能够将权限的粒度控制到具体的业务方法,因此它的控制能力应该是强大的。可以看到,权限判断部分对于每个方法几乎是独立的。
这种在具体功能前加入权限操作检验的实现方式有很多缺点:
  ⑴ 每个功能类都需要相应的权限检验代码,将程序功能和权限检验混淆在一起,存在紧密的耦合性,扩展修改难度大。
  ⑵ 以代理模式为每个功能类实现一个相应的代理类,虽然解耦了程序功能和权限检验,但是,从某个角色的权限检验这个切面考虑,涉及具体Proxy类太多,扩展修改难度大。

4  权限控制的J2EE容器实现
      在AOP概念没有诞生前,J2EE规范已经提供了关于权限控制的容器实现标准,这种变迁结果如下图所示:
(图在附件中,请下载attachment63.jpeg)
原来需要每个应用程序实现的权限Proxy转为整个容器的Proxy实现,其中JDK1.3以后的动态代理API为这种转换实现提供了技术保证。
  非常明显,通过容器实现权限控制验证可以大大简化应用程序的设计,分离了应用系统的权限关注,将权限控制变成了对J2EE容器服务器的配置工作。
 其实,容器的权限实现也是一种从一个侧面来解决问题方式,AOP概念诞生后,权限控制实现由此也带来了两个方向的变化:
  ⑴ J2EE容器级别的权限实现,也就是容器自身的权限实现。
  ⑵ J2EE应用程序级别的权限实现。
  权限控制在容器级别实现似乎使得J2EE开发者感觉没有灵活性和可扩展性,其实象JBoss 4.0这样的J2EE容器,由于引入了AOP概念,使得J2EE开发者在自己的应用系统中能够直接操纵容器的一些行为。容器和应用系统由于AOP引入的Aspect切面,变得可以成为一体了。
  对于J2EE应用系统开发者,能够做到上述境界,必须的条件是对JBoss之类J2EE容器必须有足够的了解,因为这些方式并不是J2EE标准,有可能在移植到新的J2EE容器,这些知识和投入变得无用(也有可能将来J2EE扩展其标准)。
  很显然,使用AOP实现J2EE应用系统级别的权限控制,是解决上述移植风险的一个主要方法,但是带来的缺点是必须亲自从零开始做起,耗费时间不会很短。
5  AOP下的权限控制实现
  有了AOP,新的业务方法可以这样写:
public someFunciton() {
      // do the business method
      // ...
}
      没有了额外的权限操作,这个业务方法看起来那么清晰自然。
将对权限的操作作为一个Advice,并将Advisor关注到所有的业务方法(可能有某一个特定package),然后,剩下的事情就由RBAC以及AOP来完成了。通过这样的分离,纵向的一个业务方法被分割为一个更为自然的业务方法和一个关注点。这个关注点写法可能如下:
public class PermissionCheckAdvice implements MethodBeforeAdvice {
    public void before(Method arg0, Object[] arg1, Object arg2)  throws Throwable {
           //权限判断
          if (!this.getContext().getUser().canExcute(this, arg0)) {
                throws new PermissionDeniedException();
          }
    }
}
可能有个问题:如何取得context或者当时上下文环境的User呢?答案是使用IoC(或称Dependency Injection),将上下文环境或者User作为参数反向传入到逻辑方法中。当然,在传入之前,这些变量是需要初始化的。这个初始化工作可以在SuperServlet中进行,并且以Session单例的形式保存在应用程序中。下面是Spring配置文件的例子:
IBusinessLogicthePermissionCheckBeforeAdvisor> .*
6 结束语
      AOP引进了Aspect,它将影响多个类的行为封装到一个可重用模块中,它允许程序员对横切关注点进行模块化,从而消除了OOP引起的代码混乱和分散问题,增强了系统的可维护性和代码的重用性。利用AOP的拦截(interception)能力,它为我们提供了“在任何对象的方法调用前/后加入自定义行为”的能力,这使得我们可以处理企业应用中的权限控制这一横切关注点,并且仍然保持强类型(不需要改变方法签名),解耦了程序功能和权限检验。


参考文献
1(美)Robert E.Filman,莫倩译.面向方面的软件开发.机械工业出版社,2006
2 Robert C.Martin,”The Dependcy InversionPrinciple”,
http://www.objectmentor.com/resources/articles/dip.pdf,2003
3 Rod Johnson,”Introducing the Spring Framework”,
http://www.theserside.com/articles/article.tss?l=SpringFramework,2003
4 http://www.martinfowler.com/articles/injection.html
5 http://www.jdon.com
6 http://jakarta.apache.org/

  • 大小: 17.3 KB
  • 大小: 16.3 KB
分享到:
评论

相关推荐

    java spring AOP权限控制

    AOP 下的应用程序权限控制实现 使用 AOP 技术,可以将权限控制实现与业务逻辑分离,提高代码的可读性和维护性。例如,创建一个 Aspect,专门用于权限检查,如下: ```java private static aspect ...

    使用AOP进行权限控制

    面向切面编程(AOP)提供了一种优雅的解决方案,用于分离关注点(Separation of Concerns),即在不修改业务逻辑代码的前提下,通过横切关注点(Cross-cutting Concerns)的方式实现权限控制功能的集中管理。...

    自定义注解+AOP实现权限控制.zip

    详情请查看博客:<a href='https://blog.csdn.net/byteArr/article/details/103984725'> springboot+自定义注解+AOP实现权限控制(一)和<a href='https://blog.csdn.net/byteArr/article/details/103992016'> ...

    AOP控制权限编程例子

    **Spring AOP实现权限控制** 在Spring中,我们可以使用注解或XML配置来定义切面。这里我们以注解为例: 1. **定义切面类(Aspect)**:创建一个类,并使用`@Aspect`注解标记。在这个类中,我们可以定义拦截器方法...

    Spring Boot AOP权限控制模块开发

    在这个"Spring Boot AOP权限控制模块开发"项目中,我们将深入探讨如何利用AOP来构建一个自定义的权限管理模块。 首先,AOP的核心概念是切面(Aspect)、通知(Advice)、连接点(Join Point)、切点(Pointcut)和...

    spring aop 实现权限的简单示例

    Spring AOP(面向切面编程)是Spring框架的重要组成部分,它允许我们在不修改源代码的情况下对程序的...这个简单的示例展示了如何利用Spring AOP进行权限控制,实际应用中,可以根据具体需求进行更复杂的定制和优化。

    Java之Spring AOP 实现用户权限验证

    通过以上步骤,我们创建了一个基于Spring AOP的权限验证框架,实现了对用户权限的灵活控制。这种方式不仅简化了代码,提高了代码复用性,还使得权限验证策略可以根据需求轻松调整。在实际项目中,还可以结合Spring ...

    使用SpringAop使用Oracle数据权限控制

    Spring AOP(面向切面编程)是一个强大的工具,常用于实现业务逻辑中的横切关注点,如日志、事务管理以及我们的案例——数据权限控制。本篇将深入探讨如何结合Spring AOP和Oracle数据库来实现精细化的数据权限控制。...

    aop 权限验证demo

    综上所述,"aop 权限验证demo"提供了一个利用Spring AOP进行权限控制的实例,它展示了如何在不修改业务代码的情况下,通过切面来插入权限检查,提高了代码的整洁性和安全性。通过对不同类型的AOP通知的理解和实践,...

    aop实现权限校验的过程

    在编程领域,AOP(Aspect-Oriented Programming,面向切面编程)是一种强大的设计模式,它允许程序员将关注点从核心业务逻辑中分离出来,如日志、事务管理、权限控制等。本篇文章将深入探讨如何使用AOP来实现权限...

    spring aop权限小实例

    总结起来,Spring AOP提供了一种优雅的方式来处理权限控制和其他横切关注点,通过切面和通知的组合,可以在不侵入业务逻辑的情况下实现功能。在上述实例中,我们学习了如何定义切面、创建通知以及配置切入点,这些都...

    spring aop 拦截业务方法,实现权限控制示例

    Spring AOP(面向切面编程)是Spring框架中的一个重要组件,它允许我们在不修改业务代码的情况下,通过代理机制对特定的“切点”(方法、类等)进行增强,实现如日志记录、事务管理、权限控制等功能。在这个示例中,...

    Spring Boot 通过AOP和自定义注解实现权限控制的方法

    Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解来实现权限控制。权限控制是任何应用程序的重要组件,它...

    使用Spring的注解方式实现AOP的细节

    在Spring框架中,面向切面编程(AOP)是一种强大的工具,它允许程序员定义横切关注点,如日志、事务管理、权限控制等,这些关注点可以被模块化并独立于业务逻辑进行处理。本篇文章将深入探讨如何通过Spring的注解...

    struts1+EJB3整合(AOP控制权限)

    在这个"struts1+EJB3整合(AOP控制权限)"的项目中,我们看到这两个框架是如何协同工作的,以及如何通过AOP(面向切面编程)来实现权限控制,并使用JUnit进行EJB3的单元测试。 首先,让我们深入理解AOP在权限控制中...

    aop权限代码

    在“aop权限代码”这个项目中,我们可以看到如何在Spring 2.5版本中使用AOP来实现权限控制。 首先,我们需要理解AOP的基本概念。AOP的核心是切面(Aspect),它封装了跨越多个对象的行为或关注点。切面可以包含通知...

    .net平台AOP的实现

    面向切面编程(Aspect-Oriented Programming,简称AOP)是一种编程范式,它将关注点分离,使得系统中的核心业务逻辑与系统级的服务(如日志、事务管理、权限控制等)可以解耦。在.NET平台上实现AOP,我们可以借助于...

    基于spring_aop_权限管理系统原型

    在基于Spring AOP的权限管理系统原型中,我们探讨的核心是如何利用Spring的面向切面编程(Aspect-Oriented Programming,AOP)特性来实现细粒度的权限控制。AOP允许我们在程序运行时,对特定关注点(如日志、事务...

Global site tag (gtag.js) - Google Analytics