动态Proxy与Java ACL用户访问控制机制实现 - 编程入门网
动态Proxy与Java ACL用户访问控制机制实现时间:2010-12-21用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论: 粗粒度控制:可以规定访问整个对象或对象群的某个层,而细粒度控制则总是在方法或属性层进行控制,比如: 允许一个文件为只读是属于粗粒度控制,而允许对这个文件某行有写操作则属于细粒度控制。 一个好的用户控制机制当然既允许粗粒度也允许细粒度控制,在Jive中我们看到是使用Proxy来达到这个目的,但是我们也发现,由于需要对每个类都要进行细粒度控制,所以必然对每个类都要做一个Proxy类,这样带来了很多Proxy类,如ForumProxy ForumThreadProxy ForumFactoryProxy等,无形增加了系统复杂性。 使用动态Proxy可以很好的解决这个问题。再结合java.security.acl的ACL机制,我们就可以灵活地实现粗粒度和细粒度的双重控制。 当一个用户login后,我们就要在内存中为其建立相应的授权访问机制,使用java.security.acl可以很方便的建立这样一个安全系统。 首先任何一个对象都应该有个基本属性:拥有者 或拥有者所属组(Windows中每个目录安全描述符都由4部分构成:对象的创建者、对象所属的组、自由存取控制和系统存取控制)。 1. Java acl开始第一步是建立一个主体 Principal,其中SecurityOwner是主体的拥有者: private static final Principal _securityOwner = new PrincipalImpl("SecurityOwner"); 2. 当用户login进来时,他带有两个基本数据:访问密码和他要访问的对象ApplicationName。首先验证用户名和密码,然后从数据库中取出其权限数据,建立Permission,这里使用Feature继承了Permission,在Feature中定义了有关权限的细节数据(如读 写 删)。 // 取出用户和被访问对象之间的权限关系,这种权限关系可能不只一个,也就是说,用户 //可能对被访问对象拥有读 写 删等多个权限,将其打包在Hasbtable中。 Hashtable features = loadFeaturesForUser(sApplicationName, sUserID); 3. 创建一个用户对象 User user = new UserImpl(sUserID, new Hashtable() ); 4. 为这个用户创建一个活动的acl entry addAclEntry( user, features); 其中最关键的是第四步addAclEntry,我们看看其如何实现的:
最后也要加入主体拥有者SecurityOwner 这样一个安全体系就已经建立完成。 当你在系统中要检验某个用户使用拥有某个权限,如读的权利时,只要 acl.checkPermission(user, feature )就可以,acl是ACL的一个实例,这样权限检查就交给 java.security.acl.ACL 去处理了。 动态Proxy与Java ACL用户访问控制机制实现(2)时间:2010-12-21有了ACL机制后,我们就可以在我们系统中使用动态Proxy模式来对具体对象或方法进行控制,比如,我们有一个Report类,有些用户可以读,有些用户可以写(哪些用户可以读 哪些用户可以写,已经在上面ACL里部署完成)。 从Java 1.3开始, Sun提供了Dynamic Proxy API.为了使动态Proxy能够工作,第一你必须有一个Proxy接口,还要有一个继承InvocationHandler的Proxy类。 在下面的例子中,我们设定有三种用户:普通人;雇员;经理.权限是这样:普通人可以读报告;雇员和经理可以修改报告。 按通常思维,我们对于读权限,我们设计一个具备读的角色类:
类里面都是读的方法,这是一种粗粒度访问控制,也就是说把读写权限只落实到类(对象)上,这样的话,我们还要为写的角色再建一个类,很显然这不是一个很好的方法,使用动态proxy+acl就可以实现很好的细粒度控制。
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |