以往在j2ee系统中，访问权限控制系统的实现主要有两种：应用程序实现和j2ee容器实现。
　　
　　传统的应用程序实现
　　
　　这是最直接的、传统的一种解决方式，通常是在具体方法前加一个权限判断语句，如下：
　　
　　public class forumfactoryproxy extends forumfactory {
　　......
　　public forum createforum(string name, string description)
　　throws unauthorizedexception, forumalreadyexistsexception
　　{
　　if (permissions.get(forumpermissions.system_admin)) {
　　forum newforum = factory.createforum(name, description);
　　return new forumproxy(newforum, authorization, permissions);
　　}else {
　　throw new unauthorizedexception();
　　}
　　}
　　......
　　}(来源 www.iocblog.net)
　　
　　上述代码是jive论坛中一段创建论坛功能的代码，在创建论坛前，首先进行权限角色检验，如果当前用户是系统管理员，那么可以实现真正的创建。
　　
　　这种在具体功能前加入权限操作检验的实现方式有很多缺点：
　　
　　1.每个功能类都需要相应的权限检验代码，将程序功能和权限检验混淆在一起，存在紧密的耦合性，扩展修改难度大。
　　
　　2.如果类似jive，以代理模式为每个功能类实现一个相应的代理类，虽然解耦了程序功能和权限检验，但是，从某个角色的权限检验这个切面考虑，涉及具体proxy类太多，扩展修改难度大。
　　
　　j2ee容器实现
　　
　　在aop概念没有诞生前，j2ee规范已经提供了关于权限控制的容器实现标准，这种变迁结果如下图所示：
　　
　　原来需要每个应用程序实现的权限proxy转为整个容器的proxy实现，其中jdk1.3以后的动态代理api为这种转换实现提供了技术保证。
　　
　　非常明显，通过容器实现权限控制验证可以大大简化应用程序的设计，分离了应用系统的权限关注，将权限控制变成了对j2ee容器服务器的配置工作。其实，容器的权限实现也是一种从一个切面来解决问题方式，aop概念诞生后，权限控制实现由此也带来了两个方向的变化：
　　
　　1. j2ee容器级别的权限实现，也就是容器自身的权限实现。
　　
　　2. j2ee应用程序级别的权限实现。
　　
　　权限控制在容器级别实现似乎使得j2ee开发者感觉没有灵活性和可扩展性，其实象jboss 4.0这样的j2ee容器，由于引入了aop概念，使得j2ee开发者在自己的应用系统中能够直接操纵容器的一些行为。容器和应用系统由于aop引入的aspect切面，变得可以成为一体了。（如果使用bea的ejbc编辑要浪费多少时间？）
　　
　　对于j2ee应用系统开发者，能够做到上述境界，必须的条件是对jboss之类j2ee容器必须有足够的了解，因为这些方式并不是j2ee标准，有可能在移植到新的j2ee容器，这些知识和投入变得无用（也有可能将来j2ee扩展其标准）。
　　
　　很显然，使用aop实现j2ee应用系统级别的权限控制，是解决上述移植风险的一个主要方法，但是带来的缺点是必须亲自从零开始做起，耗费时间不会很短。
　　
　　aop下的应用程序权限控制实现
　　
　　引入aop概念后的权限实现已经不是前面jive实例那样“落后”，我们对这个实例进行重整（refactorying）如下： 创建一个aspect，专门用于权限检查
　　
　　private static aspect permissioncheckaspect {
　　
　　private pointcut permissioncheckedexecution() :
　　execution ( public forum forumfactory.createforum(string , string ));
　　
　　before () : permissioncheckedexecution() {
　　if !(permissions.get(forumpermissions.system_admin)) {
　　throw new unauthorizedexception();
　　}
　　}
　　
　　}
　　
　　该段代码功能是：当系统运行forumfactory.createforum方法之前，将首先检查是否有权限操作。
　　
　　代码中pointcut触发的条件是createforum方法执行，如果有其它需要系统管理员身份才能执行的方法加入，将写成如下代码：
　　
　　private pointcut permissioncheckedexecution() :
　　execution ( public forum forumfactory.createforum(string , string )) ｜｜
　　execution ( public forum forumfactory.deleteforum(string , string )) ｜｜
　　......
　　execution ( public forum forumfactory.deletethread(string , string ));
　　
　　这些方法陈列比较琐碎，依据aspectj语法，可以简化如下：
　　
　　private pointcut permissioncheckedexecution() :
　　execution ( public * forumfactory .*(..));
　　
　　有兴趣者可以将jive论坛中相关权限proxy部分使用aop重整，另外，由于jive没有引入角色概念，导致权限和用户hardcode在编码中，如何实现权限和用户解耦，最小限度的降低hardcode量，角色概念在其中起着不可忽视的重要作用。
Tag: AOP ,权限

文章整理：iocblog
版权申明：本站文章均来自网络，如有侵权，请联系我们，我们收到后立即删除，谢谢！
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有。