| Blog信息 |
|
blog名称:
日志总数:1304
评论数量:2242
留言数量:5
访问次数:7603173
建立时间:2006年5月29日 |
| |
|
 [Spring]Spring AOP 在DWR安全上的应用
软件技术, 电脑与网络
lhwork 发表于 2006/6/27 11:20:37 |
| 在上一篇文章里
提到了可以让
DWR自动往Service里面注入一个与Servlet相关的对象,作为参数。只是这样,要每个Service都加上这样的一个参数,奇丑无比!想了
想,决定就让DWR污染一下,Service保留原样。只是增加一个MethodBeforeAdvice(正是它让DWR的API污染了一下。),来对
Service的方法进行拦截,可以在Service的调用之前对操作进行所谓的身份验证,授权之类的操作。完整的拦截模块几个类文件加个Spring配
置文件搞定。
实现拦截功能的类有:
一、MainInteceptor,主拦截器,所以DWR的远程调用都会被拦截,当然, 调用是细到方法级的,可配置的,该类实现了Spring AOP的MethodBeforeAdvice接口,该类有一个集合成员变量,成员为IInteceptor。
二、IInteceptor,是一个接口,仅有一个execute(AopContext
context)函数。该接口是拦截器(与前面的主拦截器不同,本接口定义的拦截器是可以由用户去实现,并且可以有多个)。实现接口只需要实现方法。这些
拦截器会被主拦截器回调。
比如要实现一个身份验证的拦截,SecuityInteceptor,在配置文件中把这个拦截器设置为主拦截器的属性即可获得回调。
三、AopContext,Aop上下文。在主拦截器调用IInteceptor的对象时,把这个上下文对象作为参数来调用子拦截器。从该上下文可获得一系列信息,如HttpSession,HttpRequest等。甚至你可以自已设置属性。
下面看一些代码片断: MainInteceptor:
private List<IInterceptor> interceptors;//定义一系列的子拦截器
public void setInterceptors(List<IInterceptor> interceptors) { this.interceptors = interceptors; }
在before(Method method, Object[] params, Object target)方法里:
WebContext ctx = WebContextFactory.get();//唯一被DWR污染的地方 HttpSession session = ctx.getSession(); AopContext context = new AopContext(); context.setSession(session); for(Iterator it = interceptors.iterator(); it.hasNext();){ IInterceptor interceptor = (IInterceptor) it.next(); interceptor.execute(context); }
IInterceptor:
public interface IInterceptor { public void execute(AopContext context);}
AopContext就不必贴出来了, 随自已定义些什么属性,不过就内置了一个Map,用来保存数据罢了。
下面来看看配置文件:
<beans>
<!--将要暴露给DWR的Service--> <bean id="bookManager" class="org.springframework.aop.framework.ProxyFactoryBean"> <property name="proxyInterfaces"> <value>net.jf.ajax.business.BookManager</value> </property> <property name="target"> <ref local="bookManagerImpl"/> </property> <property name="interceptorNames"> <list> <value>dwrAdvisor</value> </list> </property> </bean> <bean id="bookManagerImpl" class="net.jf.ajax.business.impl.BookManagerImpl"/><!--装配器?如果看不懂,先看看Spring的Aop吧 :P--> <bean id="dwrAdvisor" class="org.springframework.aop.support.RegexpMethodPointcutAdvisor"> <property name="advice"> <ref local="dwrInterceptor"/> </property> <property name="patterns"> <list> <value>.*.*</value> </list> </property> </bean>
<!--主拦截器,给它设置子拦截器--> <bean id="dwrInterceptor" class="net.jf.ajax.iterceptor.MainInterceptor"> <property name="interceptors"> <list> <ref bean="test"/> </list> </property> </bean> <!--其中一个子拦截器的实现--> <bean id="test" class="net.jf.ajax.iterceptor.TestInterceptor"/></beans>
就
这样,在配置DWR的配置文件时,配置<creator>时使用Spring的Creator就可以直接使用上面的Service了。当
DWR远程请求时,在配置范围内的方法的调用都会被主拦截器拦截,并且遍历、执行所有子拦截器。原有的Service不需要改动,只需要多加一个
Spring的配置文件,将原有的Service再加一层Aop的轻纱。
这是一种实现方法。如果有别的方法让DWR更安全、有效,请一定告知。:) |
|
|