站内搜索: 请输入搜索关键词

当前页面: JAVA 编程资料牛鼻论坛Java & J2SE 技术区→动态Proxy与Java ACL访问控制机制实现

动态Proxy与Java ACL访问控制机制实现

发表新主题   回复此主题

第1楼 2008-01-03 08:16 浮云之子 写道:

动态Proxy与Java ACL访问控制机制实现

  用户访问控制(Access control )机制总是围绕粗粒度和细粒度两个方面来讨论:

  粗粒度控制:可以规定访问整个对象或对象群的某个层,而细粒度控制则总是在方法或属性层进行控制,比如:

  允许一个文件为只读是属于粗粒度控制,而允许对这个文件某行有写操作则属于细粒度控制。

  一个好的用户控制机制当然既允许粗粒度也允许细粒度控制,在Jive中我们看到是使用Proxy来达到这个目的,但是我们也发现,由于需要对每个类都要进行细粒度控制,所以必然对每个类都要做一个Proxy类,这样带来了很多Proxy类,如ForumProxy ForumThreadProxy ForumFactoryProxy等,无形增加了系统复杂性。

  使用动态Proxy可以很好的解决这个问题。再结合java.security.acl的ACL机制,我们就可以灵活地实现粗粒度和细粒度的双重控制。

  当一个用户login后,我们就要在内存中为其建立相应的授权访问机制,使用java.security.acl可以很方便的建立这样一个安全系统。

  首先任何一个对象都应该有个基本属性:拥有者 或拥有者所属组(Windows中每个目录安全描述符都由4部分构成:对象的创建者、对象所属的组、自由存取控制和系统存取控制)。

  1. Java acl开始第一步是建立一个主体 Principal,其中SecurityOwner是主体的拥有者: private static final Principal _securityOwner = new PrincipalImpl("SecurityOwner");

  2. 当用户login进来时,他带有两个基本数据:访问密码和他要访问的对象ApplicationName。首先验证用户名和密码,然后从数据库中取出其权限数据,建立Permission,这里使用Feature继承了Permission,在Feature中定义了有关权限的细节数据(如读 写 删)。

  // 取出用户和被访问对象之间的权限关系,这种权限关系可能不只一个,也就是说,用户

  //可能对被访问对象拥有读 写 删等多个权限,将其打包在Hasbtable中。

  Hashtable features = loadFeaturesForUser(sApplicationName, sUserID);

  3. 创建一个用户对象

  User user = new UserImpl(sUserID, new Hashtable() );

  4. 为这个用户创建一个活动的acl entry

  addAclEntry( user, features);

  其中最关键的是第四步addAclEntry,我们看看其如何实现的:

  // 为这个用户创建一个新的Acl entry

  AclEntry newAclEntry = new AclEntryImpl( user);

  //遍历Hashtable features,将其中多种权限加入:

  ....

  feature = (Feature) hFeatures.get(keyName);

  newAclEntry.addPermission( feature );

  ....

  最后也要加入主体拥有者SecurityOwner

  这样一个安全体系就已经建立完成。

上一页 1 2 下一页

第2楼 2013-08-31 12:44 Robot :

动态Proxy与Java ACL访问控制机制实现 相关