SSH集成框架下真正实现Spring AOP拦截功能

peizhiinfo

浏览: 1423927 次

最近访客更多访客>>

u012363178

wangyy

shb121

ybj316

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1871)

社区版块

存档分类

2011-11 ( 126)
2011-10 ( 252)
2011-09 ( 292)
更多存档...

问题的提出：

在Struts1框架下，有三种类型的Action控制器，分别是MappingDispatchAction、DispatchAction和Action，他们是依次继承，最终执行的execute方法。但MappingDispatchAction、DispatchAction的子类中没有execute方法，只有参数指定的具体方法，而这些方法是被MappingDispatchAction、DispatchAction本类的execute方法调用执行，特别注意的是它是通过反射机制来做的(大家可以看看DispatchAction类的源代码)，所以这些被反射调用的方法是不能被Spring AOP拦截的，因此也就无法利用切面编程实现权限控制了。

解决方法：

巴巴运动网通过覆盖DelegatingRequestProcessor控制器的processActionPerform方法，是一种理想的解决方案，但严格来说并不是AOP切面编程方法。因此笔者仅从学习AOP切面编程的角度来提出本文章，对于实用性笔者极力推荐巴巴运动网的方案。

本方法解决思想：

1.覆盖execute方法，再模仿DispatchAction反射调用具体的方法；

2.实现Spring AOP拦截点，开始拦截配置描述的范围内的程序；

3.在切入点程序中再次实现反射机制，获取执行方法上的权限配置信息；

4.根据权限信息决定放行还是返回。

最终既可以拦截到execute方法，也可以得到具体方法中的权限注解配置信息。以本BBS系统为例：

第一步：凡继承于DispatchAction的类都覆盖execute方法：

@Override
public ActionForward execute(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response) throws Exception {
return super.execute(mapping, form, request, response);
}

//假如这个action中有一个具体的方法：
@Privilege(userType=PrivilegeType.Admin,message="需管理员权限!")
public ActionForward addUI(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response) throws Exception {
CategoryForm categoryForm = (CategoryForm)form;
categoryForm.setTitle("新增分类");
return mapping.findForward("addUI");
}
第二步：做自己的权限配置：

看上面addUI方法上的注解应该可以理解这些配置

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Privilege {
String message() default "您没有权限执行该操作，请登录后重试！";
PrivilegeType userType();
}
配置中有个字字段是枚举，源码如下：

public enum PrivilegeType {
LoginUser{
public String getName(){
return "所有登录用户";
}
public int getValue(){
return 1;
}
},

LoginUserSelf{
public String getName(){
return "登录用户自己";
}
public int getValue(){
return 2;
}
},

Moderator{
public String getName(){
return "版主";
}
public int getValue(){
return 3;
}
},

Admin{
public String getName(){
return "管理员";
}
public int getValue(){
return 4;
}
};

public abstract String getName();
public abstract int getValue();
}

第三步：实现AOP切入编程：

@Aspect
@Component()
public class PrivilegeAction {

//拦截com.zjh包下(含子包)所有类能返回ActionForward类型的方法
@Around("execution(org.apache.struts.action.ActionForward com.zjh..*.*(..))")
public Object validatePrivilege(ProceedingJoinPoint pjp) throws Throwable{

// 从拦截的方法中参数中得到四个对象
ActionMapping mapping = (ActionMapping) pjp.getArgs()[0];
ActionForm form = (ActionForm) pjp.getArgs()[1];
HttpServletRequest request = (HttpServletRequest) pjp.getArgs()[2];
HttpServletResponse response = (HttpServletResponse) pjp.getArgs()[3];

//从拦截点处获取它所处的类名，并经过反射取得权限配置信息
Class dispatchAction = Class.forName(pjp.getSignature().getDeclaringTypeName()); Object obj = dispatchAction.newInstance(); String mappingParament = mapping.getParameter()==null ? "execute" : request.getParameter(mapping.getParameter()); Method method = obj.getClass().getDeclaredMethod(mappingParament,
ActionMapping.class,
ActionForm.class,
HttpServletRequest.class,
HttpServletResponse.class); Privilege privilege = method.getAnnotation(Privilege.class);

//如果方法上没有配置权限信息，直接放行
if(privilege==null)
return (ActionForward)pjp.proceed();

//否则必须是登录用户，进行第一关粗粒度拦截
User user = WebUtil.getUserInSession(request);
if(user==null){
request.setAttribute("message", privilege.message());
return mapping.findForward("message");
} //再根据用户类型进行细粒度拦截
switch(privilege.userType().getValue()){
//当权限为PrivilegeType.LoginUserSelf(登录用户自己，例如更新文章必须是自
//己的文章才有权限更新)时，须从数据库里取得用户对象再和session中用
//户匹配，这个没有实现。
case 2:
if(!user.getUsername().equals("数据库里取得某文章的用户名")){
request.setAttribute("message", privilege.message());
return mapping.findForward("message");

分享到：