问题的提出
在Struts框架下有三种类型的Action控制器分别是MappingDispatchActionDispatchAction和Action他们是依次继承最终执行的execute方法但MappingDispatchActionDispatchAction的子类中没有execute方法只有参数指定的具体方法而这些方法是被MappingDispatchActionDispatchAction本类的execute方法调用执行特别注意的是它是通过反射机制来做的(大家可以看看DispatchAction类的源代码)所以这些被反射调用的方法是不能被Spring AOP拦截的因此也就无法利用切面编程实现权限控制了
解决方法
巴巴运动网通过覆盖DelegatingRequestProcessor控制器的processActionPerform方法是一种理想的解决方案但严格来说并不是AOP切面编程方法因此笔者仅从学习AOP切面编程的角度来提出本文章对于实用性笔者极力推荐巴巴运动网的方案
本方法解决思想
覆盖execute方法再模仿DispatchAction反射调用具体的方法
实现Spring AOP拦截点开始拦截配置描述的范围内的程序
在切入点程序中再次实现反射机制获取执行方法上的权限配置信息
根据权限信息决定放行还是返回
最终既可以拦截到execute方法也可以得到具体方法中的权限注解配置信息以本BBS系统为例
第一步凡继承于DispatchAction的类都覆盖execute方法
@Override
public ActionForward execute(ActionMapping mapping ActionForm form
HttpServletRequest request HttpServletResponse response) throws Exception {
return superexecute(mapping form request response);
}
//假如这个action中有一个具体的方法
@Privilege(userType=PrivilegeTypeAdminmessage=需管理员权限!)
public ActionForward addUI(ActionMapping mapping ActionForm form
HttpServletRequest request HttpServletResponse response) throws Exception {
CategoryForm categoryForm = (CategoryForm)form;
categoryFormsetTitle(新增分类);
return mappingfindForward(addUI);
}
第二步做自己的权限配置
看上面addUI方法上的注解应该可以理解这些配置
@Retention(RetentionPolicyRUNTIME)
@Target(ElementTypeMETHOD)
public @interface Privilege {
String message() default 您没有权限执行该操作请登录后重试!;
PrivilegeType userType();
}
配置中有个字字段是枚举源码如下
public enum PrivilegeType {
LoginUser{
public String getName(){
return 所有登录用户;
}
public int getValue(){
return ;
}
}
LoginUserSelf{
public String getName(){
return 登录用户自己;
}
public int getValue(){
return ;
}
}
Moderator{
public String getName(){
return 版主;
}
public int getValue(){
return ;
}
}
Admin{
public String getName(){
return 管理员;
}
public int getValue(){
return ;
}
};
public abstract String getName();
public abstract int getValue();
}
第三步实现AOP切入编程
@Aspect
@Component()
public class PrivilegeAction {
//拦截comzjh包下(含子包)所有类能返回ActionForward类型的方法
@Around(execution(orgapachestrutsactionActionForward comzjh**()))
public Object validatePrivilege(ProceedingJoinPoint pjp) throws Throwable{
// 从拦截的方法中参数中得到四个对象
ActionMapping mapping = (ActionMapping) pjpgetArgs()[];
ActionForm form = (ActionForm) pjpgetArgs()[];
HttpServletRequest request = (HttpServletRequest) pjpgetArgs()[];
HttpServletResponse response = (HttpServletResponse) pjpgetArgs()[];
//从拦截点处获取它所处的类名并经过反射取得权限配置信息
Class dispatchAction = ClassforName(pjpgetSignature()getDeclaringTypeName()); Object obj = dispatchActionnewInstance(); String mappingParament = mappinggetParameter()==null ? execute : requestgetParameter(mappinggetParameter()); Method method = objgetClass()getDeclaredMethod(mappingParament
ActionMappingclass
ActionFormclass
HttpServletRequestclass
HttpServletResponseclass); Privilege privilege = methodgetAnnotation(Privilegeclass);
//如果方法上没有配置权限信息直接放行
if(privilege==null)
return (ActionForward)pjpproceed();
//否则必须是登录用户进行第一关粗粒度拦截
User user = WebUtilgetUserInSession(request);
if(user==null){
requestsetAttribute(message ssage());
return mappingfindForward(message);
} //再根据用户类型进行细粒度拦截
switch(privilegeuserType()getValue()){
//当权限为PrivilegeTypeLoginUserSelf(登录用户自己例如更新文章必须是自
//己的文章才有权限更新)时须从数据库里取得用户对象再和session中用
//户匹配这个没有实现
case :
if(!usergetUsername()equals(数据库里取得某文章的用户名)){
requestsetAttribute(message ssage());
return mappingfindForward(message);
}
break;
//版主权限拦截这个没有实现
case :
requestsetAttribute(message ssage());
return mappingfindForward(message);
//管理员权限从application取得管理员用户名再匹配session登录用户是否相等
case :
String admin = ((SystemProperty)requestgetSession()getServletContext()getAttribute(config))
getAdminUsername();
if(!usergetUsername()equals(admin)){
requestsetAttribute(message ssage());
return mappingfindForward(message);
}
break;
}
//当上面没有拦住表示权限允许放行
return (ActionForward)pjpproceed();
}
}
以上细粒度拦截属业务逻辑不妨碍本文所述的AOP切面编程笔者仅仅是为学习AOP真正用在真实项目的权限拦截方案不太成熟
