问题的提出:
在Struts1框架下,有三种类型的Action控制器,分别是MappingDispatchAction、DispatchAction和Action,他们是依次继承,最终执行的execute方法。但MappingDispatchAction、DispatchAction的子类中没有execute方法,只有参数指定的具体方法,而这些方法是被MappingDispatchAction、DispatchAction本类的execute方法调用执行,特别注意的是它是通过反射机制来做的(大家可以看看DispatchAction类的源代码),所以这些被反射调用的方法是不能被Spring AOP拦截的,因此也就无法利用切面编程实现权限控制了。
解决方法:
巴巴运动网通过覆盖DelegatingRequestProcessor控制器的processActionPerform方法,是一种理想的解决方案,但严格来说并不是AOP切面编程方法。因此笔者仅从学习AOP切面编程的角度来提出本文章,对于实用性笔者极力推荐巴巴运动网的方案。
本方法解决思想:
1.覆盖execute方法,再模仿DispatchAction反射调用具体的方法;
2.实现Spring AOP拦截点,开始拦截配置描述的范围内的程序;
3.在切入点程序中再次实现反射机制,获取执行方法上的权限配置信息;
4.根据权限信息决定放行还是返回。
最终既可以拦截到execute方法,也可以得到具体方法中的权限注解配置信息。以本BBS系统为例:
第一步:凡继承于DispatchAction的类都覆盖execute方法:
@Override
public ActionForward execute(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response) throws Exception {
return super.execute(mapping, form, request, response);
}
//假如这个action中有一个具体的方法:
@Privilege(userType=PrivilegeType.Admin,message="需管理员权限!")
public ActionForward addUI(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response) throws Exception {
CategoryForm categoryForm = (CategoryForm)form;
categoryForm.setTitle("新增分类");
return mapping.findForward("addUI");
}
第二步:做自己的权限配置:
看上面addUI方法上的注解应该可以理解这些配置
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Privilege {
String message() default "您没有权限执行该操作,请登录后重试!";
PrivilegeType userType();
}
配置中有个字字段是枚举,源码如下:
public enum PrivilegeType {
LoginUser{
public String getName(){
return "所有登录用户";
}
public int getValue(){
return 1;
}
},
LoginUserSelf{
public String getName(){
return "登录用户自己";
}
public int getValue(){
return 2;
}
},
Moderator{
public String getName(){
return "版主";
}
public int getValue(){
return 3;
}
},
Admin{
public String getName(){
return "管理员";
}
public int getValue(){
return 4;
}
};
public abstract String getName();
public abstract int getValue();
}
第三步:实现AOP切入编程:
@Aspect
@Component()
public class PrivilegeAction {
//拦截com.zjh包下(含子包)所有类能返回ActionForward类型的方法
@Around("execution(org.apache.struts.action.ActionForward com.zjh..*.*(..))")
public Object validatePrivilege(ProceedingJoinPoint pjp) throws Throwable{
// 从拦截的方法中参数中得到四个对象
ActionMapping mapping = (ActionMapping) pjp.getArgs()[0];
ActionForm form = (ActionForm) pjp.getArgs()[1];
HttpServletRequest request = (HttpServletRequest) pjp.getArgs()[2];
HttpServletResponse response = (HttpServletResponse) pjp.getArgs()[3];
//从拦截点处获取它所处的类名,并经过反射取得权限配置信息
Class dispatchAction = Class.forName(pjp.getSignature().getDeclaringTypeName()); Object obj = dispatchAction.newInstance(); String mappingParament = mapping.getParameter()==null ? "execute" : request.getParameter(mapping.getParameter()); Method method = obj.getClass().getDeclaredMethod(mappingParament,
ActionMapping.class,
ActionForm.class,
HttpServletRequest.class,
HttpServletResponse.class); Privilege privilege = method.getAnnotation(Privilege.class);
//如果方法上没有配置权限信息,直接放行
if(privilege==null)
return (ActionForward)pjp.proceed();
//否则必须是登录用户,进行第一关粗粒度拦截
User user = WebUtil.getUserInSession(request);
if(user==null){
request.setAttribute("message", privilege.message());
return mapping.findForward("message");
} //再根据用户类型进行细粒度拦截
switch(privilege.userType().getValue()){
//当权限为PrivilegeType.LoginUserSelf(登录用户自己,例如更新文章必须是自
//己的文章才有权限更新)时,须从数据库里取得用户对象再和session中用
//户匹配,这个没有实现。
case 2:
if(!user.getUsername().equals("数据库里取得某文章的用户名")){
request.setAttribute("message", privilege.message());
return mapping.findForward("message");