动态Proxy与Java ACL用户访问控制机制实现

2016-02-19 21:01 3 1 收藏

图老师设计创意栏目是一个分享最好最实用的教程的社区,我们拥有最用心的各种教程,今天就给大家分享动态Proxy与Java ACL用户访问控制机制实现的教程,热爱PS的朋友们快点看过来吧!

【 tulaoshi.com - 编程语言 】

 

用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论:

粗粒度控制:可以规定访问整个对象或对象群的某个层,而细粒度控制则总是在方法或属性层进行控制,比如:

允许一个文件为只读是属于粗粒度控制,而允许对这个文件某行有写操作则属于细粒度控制。

一个好的用户控制机制当然既允许粗粒度也允许细粒度控制,在Jive中我们看到是使用Proxy来达到这个目的,但是我们也发现,由于需要对每个类都要进行细粒度控制,所以必然对每个类都要做一个Proxy类,这样带来了很多Proxy类,如ForumProxy ForumThreadProxy ForumFactoryProxy等,无形增加了系统复杂性。

使用动态Proxy可以很好的解决这个问题。再结合java.security.acl的ACL机制,我们就可以灵活地实现粗粒度和细粒度的双重控制。

当一个用户login后,我们就要在内存中为其建立相应的授权访问机制,使用java.security.acl可以很方便的建立这样一个安全系统。

首先任何一个对象都应该有个基本属性:拥有者 或拥有者所属组(Windows中每个目录安全描述符都由4部分构成:对象的创建者、对象所属的组、自由存取控制和系统存取控制)。

1. Java acl开始第一步是建立一个主体 Principal,其中SecurityOwner是主体的拥有者: private static final Principal _securityOwner = new PrincipalImpl("SecurityOwner");

2. 当用户login进来时,他带有两个基本数据:访问密码和他要访问的对象ApplicationName。首先验证用户名和密码,然后从数据库中取出其权限数据,建立Permission,这里使用Feature继承了Permission,在Feature中定义了有关权限的细节数据(如读 写 删)。

// 取出用户和被访问对象之间的权限关系,这种权限关系可能不只一个,也就是说,用户

//可能对被访问对象拥有读 写 删等多个权限,将其打包在Hasbtable中。

Hashtable features = loadFeaturesForUser(sApplicationName, sUserID);

3. 创建一个用户对象

User user = new UserImpl(sUserID, new Hashtable() );

4. 为这个用户创建一个活动的acl entry

addAclEntry( user, features);

其中最关键的是第四步addAclEntry,我们看看其如何实现的:

// 为这个用户创建一个新的Acl entry

AclEntry newAclEntry = new AclEntryImpl( user);

//遍历Hashtable features,将其中多种权限加入:

....

feature = (Feature) hFeatures.get(keyName);

newAclEntry.addPermission( feature );

....

最后也要加入主体拥有者SecurityOwner

这样一个安全体系就已经建立完成。

当你在系统中要检验某个用户使用拥有某个权限,如读的权利时,只要acl.checkPermission(user, feature )就可以,acl是ACL的一个实例,这样权限检查就交给java.security.acl.ACL 去处理了。

有了ACL机制后,我们就可以在我们系统中使用动态Proxy模式来对具体对象或方法进行控制,比如,我们有一个Report类,有些用户可以读,有些用户可以写(哪些用户可以读 哪些用户可以写,已经在上面ACL里部署完成)。

从Java 1.3开始, Sun提供了Dynamic Proxy API.为了使动态Proxy能够工作,第一你必须有一个Proxy接口,还要有一个继承InvocationHandler的Proxy类。

在下面的例子中,我们设定有三种用户:普通人;雇员;经理.权限是这样:普通人可以读报告;雇员和经理可以修改报告。

按通常思维,我们对于读权限,我们设计一个具备读的角色类:

public interface IpersonRO {

public String getName();

public String getAddress();

public String getPhoneNumber();

}

类里面都是读的方法,这是一种粗粒度访问控制,也就是说把读写权限只落实到类(对象)上,这样的话,我们还要为写的角色再建一个类,很显然这不是一个很好的方法,使用动态proxy+acl就可以实现很好的细粒度控制。

public class ReportProxy implements InvocationHandler

{

private Map map;

public static Object newInstance(Map map,Class[] interfaces)

{

return Proxy.newProxyInstance(map.getClass().getClassLoader(), interfaces,new ReportProxy(map));

}

public ReportProxy(Map map)

{

this.map = map;

}

public Object invoke(Object proxy, Method m, Object[] args) throws Throwable

{

Object result;

String methodName = m.getName();

if (methodName.startsWith("get"))

{

if (!acl.checkPermission(user, "read")) return null;

String name = methodName.substring(

methodName.indexOf("get")+3);

return map.get(name);

}

else if (methodName.startsWith("set"))

{

if (!acl.checkPermission(user, "write")) return null;

String name = methodName.substring(

methodName.indexOf("set")+3);

map.put(name, args[0]);

return null;

}

else if (methodName.startsWith("is"))

{

if (!acl.checkPermission(user, "read")) return null;

String name = methodName.substring(

methodName.indexOf("is")+2);

return(map.get(name));

}

return null;

}

}

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/bianchengyuyan/)

来源:http://www.tulaoshi.com/n/20160219/1625068.html

延伸阅读
众所周知,Java语言最明显的优势在于用它设计的程序可以广泛地运行于互联网上所有安装了VM解释器的计算机上。然而,如今JAVA之所以在市场上如此流行,还得益于它的另一卖点:它提供了安全可靠和使用方便的存储治理机制。这是部分编程人员将它与其前身C++语言对比后所得出的结论。本文将针对两种语言的内存(以对象为单位)使用机制,...
记忆是衍生自Lisp,Python,和Perl等过程性语言的一种设计模式,它可以对前次的计算结果进行记忆。 一个实现了记忆功能的函数, 带有显式的cache, 所以, 已经计算过的结果就能直接从cache中获得, 而不用每次都进行计算. 记忆能显著的提升大计算量代码的效率. 而且是一种可重用的方案. 本文阐述了在Java中使用这一模式的方法,并提供...
一、使用的背景(也不能算是使用的背景,最多只能算是一个在什么条件下面我想到了使用动态代理实现AOP的拦截功能):因为在项目中程序的结构是使用SOAP调用JNI,因此在SOAP服务端里面没有任何实现代码,仅仅是new一个JNI的对象,然后调用JNI对应的方法。但是在调用JNI方法之前需要对传进JNI的JavaBean进行初始化,而且还需要记录日志。而SOAP服...
标签: Web开发
一、Ajax是什么 AJAX全称为"Asynchronous JavaScript and XML"(异步JavaScript和XML),Ajax不是一个技术,它实际上是几种技术,每种技术都有其独特这处,合在一起就成了一个功能强大的新技术。作为创建交互式网页应用的网页开发技术,它有以下特点: 使用XHTML+CSS来表示信息 使用JavaScript操作DOM(Document Object Model)进行动态显...
标签: Web开发
  我平时比较喜欢从网上听歌,有些链接下载速度太慢了。如果用HttpURLConnection类的方法打开连接,然后用InputStream类获得输入流,再用BufferedInputStream构造出带缓冲区的输入流,如果网速太慢的话,无论缓冲区设置多大,听起来都是断断续续的,达不到真正缓冲的目的。于是尝试编写代码实现用缓冲方式读取远程文件,以下贴出的代码...

经验教程

569

收藏

65
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部