下载本文示例代码
　　用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论： 　　粗粒度控制：可以规定访问整个对象或对象群的某个层，而细粒度控制则总是在方法或属性层进行控制，比如： 　　允许一个文件为只读是属于粗粒度控制，而允许对这个文件某行有写操作则属于细粒度控制。 　　一个好的用户控制机制当然既允许粗粒度也允许细粒度控制，在Jive中我们看到是使用Proxy来达到这个目的，但是我们也发现，由于需要对每个类都要进行细粒度控制，所以必然对每个类都要做一个Proxy类，这样带来了很多Proxy类，如ForumProxy ForumThreadProxy ForumFactoryProxy等，无形增加了系统复杂性。 　　使用动态Proxy可以很好的解决这个问题。再结合java.security.acl的ACL机制，我们就可以灵活地实现粗粒度和细粒度的双重控制。 　　当一个用户login后，我们就要在内存中为其建立相应的授权访问机制，使用java.security.acl可以很方便的建立这样一个安全系统。 　　首先任何一个对象都应该有个基本属性：拥有者 或拥有者所属组(Windows中每个目录安全描述符都由4部分构成：对象的创建者、对象所属的组、自由存取控制和系统存取控制)。 　　1. Java acl开始第一步是建立一个主体 Principal，其中SecurityOwner是主体的拥有者： private static final Principal _securityOwner = new PrincipalImpl("SecurityOwner"); 　　2. 当用户login进来时，他带有两个基本数据：访问密码和他要访问的对象ApplicationName。首先验证用户名和密码，然后从数据库中取出其权限数据，建立Permission,这里使用Feature继承了Permission，在Feature中定义了有关权限的细节数据（如读 写 删）。 　　// 取出用户和被访问对象之间的权限关系,这种权限关系可能不只一个，也就是说，用户　　//可能对被访问对象拥有读 写 删等多个权限，将其打包在Hasbtable中。　　Hashtable features = loadFeaturesForUser(sApplicationName, sUserID); 　　3. 创建一个用户对象　　User user = new UserImpl(sUserID, new Hashtable() ); 　　4. 为这个用户创建一个活动的acl entry　　addAclEntry( user, features); 　　其中最关键的是第四步addAclEntry,我们看看其如何实现的： // 为这个用户创建一个新的Acl entry AclEntry newAclEntry = new AclEntryImpl( user); //遍历Hashtable features，将其中多种权限加入:....feature = (Feature) hFeatures.get(keyName);newAclEntry.addPermission( feature );.... 　　最后也要加入主体拥有者SecurityOwner 　　这样一个安全体系就已经建立完成。 　　当你在系统中要检验某个用户使用拥有某个权限，如读的权利时，只要acl.checkPermission(user, feature )就可以,acl是ACL的一个实例，这样权限检查就交给java.security.acl.ACL 去处理了。 　　有了ACL机制后，我们就可以在我们系统中使用动态Proxy模式来对具体对象或方法进行控制，比如，我们有一个Report类，有些用户可以读，有些用户可以写(哪些用户可以读 哪些用户可以写，已经在上面ACL里部署完成)。 　　从Java 1.3开始, Sun提供了Dynamic Proxy API.为了使动态Proxy能够工作，第一你必须有一个Proxy接口，还要有一个继承InvocationHandler的Proxy类。 　　在下面的例子中，我们设定有三种用户：普通人；雇员；经理.权限是这样：普通人可以读报告；雇员和经理可以修改报告。 　　按通常思维，我们对于读权限，我们设计一个具备读的角色类： public interface IpersonRO {public String getName();public String getAddress();public String getPhoneNumber(); } 　　类里面都是读的方法，这是一种粗粒度访问控制，也就是说把读写权限只落实到类(对象)上，这样的话，我们还要为写的角色再建一个类，很显然这不是一个很好的方法，使用动态proxy acl就可以实现很好的细粒度控制。 public class ReportProxy implements InvocationHandler { private Map map; public static Object newInstance(Map map,Class[] interfaces) { return Proxy.newProxyInstance(map.getClass().getClassLoader(), interfaces,new ReportProxy(map)); } public ReportProxy(Map map) { this.map = map; } public Object invoke(Object proxy, Method m, Object[] args) throws Throwable { Object result; String methodName = m.getName(); if (methodName.startsWith("get")) { if (!acl.checkPermission(user, "read")) return null; String name = methodName.substring(methodName.indexOf("get") 3); return map.get(name); } else if (methodName.startsWith("set")) { if (!acl.checkPermission(user, "write")) return null; String name = methodName.substring(methodName.indexOf("set") 3); map.put(name, args[0]); return null; } else if (methodName.startsWith("is")) { if (!acl.checkPermission(user, "read")) return null; String name = methodName.substring(methodName.indexOf("is") 2); return(map.get(name)); } return null; } } 　　用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论： 　　粗粒度控制：可以规定访问整个对象或对象群的某个层，而细粒度控制则总是在方法或属性层进行控制，比如： 　　允许一个文件为只读是属于粗粒度控制，而允许对这个文件某行有写操作则属于细粒度控制。 　　一个好的用户控制机制当然既允许粗粒度也允许细粒度控制，在Jive中我们看到是使用Proxy来达到这个目的，但是我们也发现，由于需要对每个类都要进行细粒度控制，所以必然对每个类都要做一个Proxy类，这样带来了很多Proxy类，如ForumProxy ForumThreadProxy ForumFactoryProxy等，无形增加了系统复杂性。 　　使用动态Proxy可以很好的解决这个问题。再结合java.security.acl的ACL机制，我们就可以灵活地实现粗粒度和细粒度的双重控制。 　　当一个用户login后，我们就要在内存中为其建立相应的授权访问机制，使用java.security.acl可以很方便的建立这样一个安全系统。 　　首先任何一个对象都应该有个基本属性：拥有者 或拥有者所属组(Windows中每个目录安全描述符都由4部分构成：对象的创建者、对象所属的组、自由存取控制和系统存取控制)。 　　1. Java acl开始第一步是建立一个主体 Principal，其中SecurityOwner是主体的拥有者： private static final Principal _securityOwner = new PrincipalImpl("SecurityOwner"); 　　2. 当用户login进来时，他带有两个基本数据：访问密码和他要访问的对象ApplicationName。首先验证用户名和密码，然后从数据库中取出其权限数据，建立Permission,这里使用Feature继承了Permission，在Feature中定义了有关权限的细节数据（如读 写 删）。 　　// 取出用户和被访问对象之间的权限关系,这种权限关系可能不只一个，也就是说，用户　　//可能对被访问对象拥有读 写 删等多个权限，将其打包在Hasbtable中。　　Hashtable features = loadFeaturesForUser(sApplicationName, sUserID); 　　3. 创建一个用户对象　　User user = new UserImpl(sUserID, new Hashtable() ); 　　4. 为这个用户创建一个活动的acl entry　　addAclEntry( user, features); 　　其中最关键的是第四步addAclEntry,我们看看其如何实现的： // 为这个用户创建一个新的Acl entry AclEntry newAclEntry = new AclEntryImpl( user); //遍历Hashtable features，将其中多种权限加入:....feature = (Feature) hFeatures.get(keyName);newAclEntry.addPermission( feature );.... 　　最后也要加入主体拥有者SecurityOwner 　　这样一个安全体系就已经建立完成。 　　当你在系统中要检验某个用户使用拥有某个权限，如读的权利时，只要acl.checkPermission(user, feature )就可以,acl是ACL的一个实例，这样权限检查就交给java.security.acl.ACL 去处理了。 　　有了ACL机制后，我们就可以在我们系统中使用动态Proxy模式来对具体对象或方法进行控制，比如，我们有一个Report类，有些用户可以读，有些用户可以写(哪些用户可以读 哪些用户可以写，已经在上面ACL里部署完成)。 　　从Java 1.3开始, Sun提供了Dynamic Proxy API.为了使动态Proxy能够工作，第一你必须有一个Proxy接口，还要有一个继承InvocationHandler的Proxy类。 　　在下面的例子中，我们设定有三种用户：普通人；雇员；经理.权限是这样：普通人可以读报告；雇员和经理可以修改报告。 　　按通常思维，我们对于读权限，我们设计一个具备读的角色类： public interface IpersonRO {public String getName();public String getAddress();public String getPhoneNumber(); } 　　类里面都是读的方法，这是一种粗粒度访问控制，也就是说把读写权限只落实到类(对象)上，这样的话，我们还要为写的角色再建一个类，很显然这不是一个很好的方法，使用动态proxy acl就可以实现很好的细粒度控制。 public class ReportProxy implements InvocationHandler { private Map map; public static Object newInstance(Map map,Class[] interfaces) { return Proxy.newProxyInstance(map.getClass().getClassLoader(), interfaces,new ReportProxy(map)); } public ReportProxy(Map map) { this.map = map; } public Object invoke(Object proxy, Method m, Object[] args) throws Throwable { Object result; String methodName = m.getName(); if (methodName.startsWith("get")) { if (!acl.checkPermission(user, "read")) return null; String name = methodName.substring(methodName.indexOf("get") 3); return map.get(name); } else if (methodName.startsWith("set")) { if (!acl.checkPermission(user, "write")) return null; String name = methodName.substring(methodName.indexOf("set") 3); map.put(name, args[0]); return null; } else if (methodName.startsWith("is")) { if (!acl.checkPermission(user, "read")) return null; String name = methodName.substring(methodName.indexOf("is") 2); return(map.get(name)); } return null; } } 下载本文示例代码


动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现动态Proxy与Java ACL用户访问控制机制实现