图 6. 示例人力资源域模型

AOP@Work: 使用方面的下几个步骤-学习建议之后(14)

清单 8. 细粒度安全性方 面

public aspect SensitiveDataAuthorization { /** * Matches sensitive read operations on employee data, namely reading * sensitive fields */ pointcut readSensitiveEmployeeData(Employee employee): target(employee) && ( get(* salary) || get(* address) || get(* bonus)); /** * Matches the set up of a security context, in this case for JAAS */ pointcut securityContext(Subject subject, Action action): cflow(execution(* Subject.doAs*(Subject, Action, ..)) && args(subject, action, ..)); before(Subject subject, Employee employee) : readSensitiveEmployeeData(employee) && securityContext(subject, *) { policy.checkAccess(subject, employee); } /** * Matches sensitive read operations on regulation data, namely calling * get methods or calculating tax on it. */ pointcut sensitiveRegOp(EmployeeRegulation reg): this(reg) && ( execution(* get*()) || execution(* calcTax())); before(Subject subject, EmployeeRegulation reg) : sensitiveRegOp(reg) && securityContext(subject, *) { Employee employee = reg.getEmployee(); policy.checkAccess(subject, employee); } public void setPolicy(EmployeeAccessPolicy policy) { ... } public EmployeeAccessPolicy getPolicy() { ... } protected EmployeeAccessPolicy policy; } public class EmployeeAccessPolicyImp implements EmployeeAccessPolicy { /** * Checks for valid access to data. * @throws SecurityException if not valid */ public void checkAccess(Employee employee, Worker worker) throws SecurityException { Employee caller = Employee.getEmployee(worker.getSubject()); if (caller==null || !employee.reportsTo(caller))) { // record attempted security violation throw new SecurityException("..."); } // log successful data access to audit trail } }

在清单 8 中，SensitiveDataAuthorization 方面在 readSensitiveEmplData() 上有第一个建议，保护对员工类上直接定义的敏感数 据字段 的读取。每当在安全上下文（在这种情况下，是当用户通过 JAAS 身份 验证时）中进行时，该建议就建议此类读取。该建议指派给 helper 类 EmployeeAccessPolicy 中的 checkAccess() 方法，该方法检查执行主体（通常 是用户）和其数据被访问的员工之间的关系。如果所需关系不存在，则该方法抛 出异常并发出警报。否则，该方法记录尝试的访问。

方面的第二部分开始变得更有趣：在此，我保护了对由组合对象保存的雇员 数据的访问。具体地说，EmployeeRegulation 对象保存敏感数据，比如政府税 务标识符、税率和扣缴信息。自然，该信息随雇员所在的辖区（国家、州、省、 市等）而变。执行计算税方法或从任何规章数据的实现中获取任何数据都被认为 是敏感的。在这种情况下，我需要从规章数据映射回聚合对象（雇员）来检查访 问。

AOP@Work: 使用方面的下几个步骤-学习建议之后(15)

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!