Spring AOP 本质(3)

Spring AOP很牛，AOP是OOP的补充，而非竞争者。

前面的例子离实际的应用太遥远。不足以显式AOP的力量，现在就用AOP前置通知来检查用户的身份，只有通过检查的才能调用业务方法。

在没有使用AOP之前，我们是如何实现的？想想看。

1、写一个安全检查类，又其他类继承，并在子类的业务方法中调用安全检查的方法。

比如：Struts1时代就是继承Action，其类结构如下：

package org.apache.struts.action;

public class Action {

public ActionForward execute(ActionMapping actionMapping, ActionForm actionForm, ServletRequest servletRequest, ServletResponse servletResponse) throws java.lang.Exception { /* compiled code */ }

public ActionForward execute(ActionMapping actionMapping, ActionForm actionForm, http.HttpServletRequest httpServletRequest, http.HttpServletResponse httpServletResponse) throws java.lang.Exception { /* compiled code */ }

....
}

在开发中自己实现的UserAction需要继承Struts的Action，可以考虑做一个抽象，比如叫做CheckAciton，在其中重写execute方法，并加入安全检查机制，并且增加一个抽象请求处理方法
public ActionForward real(ActionMapping actionMapping, ActionForm actionForm, http.HttpServletRequest httpServletRequest, http.HttpServletResponse httpServletResponse)throws java.lang.Exception;
作为业务请求处理的方法，放到重写的execute方法内部调用。

public class CheckAction extends Action{

public ActionForward execute(ActionMapping actionMapping, ActionForm actionForm, http.HttpServletRequest httpServletRequest, http.HttpServletResponse httpServletResponse) throws java.lang.Exception {
    //todo: 安全检查逻辑
    return real(actionMapping,actionForm,httpServletRequest,httpServletResponse);

}

public abstract ActionForward real(ActionMapping actionMapping, ActionForm actionForm, http.HttpServletRequest httpServletRequest, http.HttpServletResponse httpServletResponse) throws java.lang.Exception;

}

这样以后业务上的别的Aciton只要继承了CheckAction，还需要实现real方法，别的方法），即可为该Action加入安全检查的逻辑。

public class DoSomethingAction extends CheckAction{

public abstract ActionForward real(ActionMapping actionMapping, ActionForm actionForm, http.HttpServletRequest httpServletRequest, http.HttpServletResponse httpServletResponse) throws java.lang.Exception{
    //todo: 单纯处理实际的业务请求
    return ...
    }

....
}

这样做也很麻烦，还可以使用动态代理为每个业务接口加上安全检查的逻辑，但是性能更差，更麻烦。

这个还算可行的方案，实现也很容易。但是很死板，如果有多种验证策略就比较棘手了。

没有对比就显式不出来Spring AOP的优势。下面看看Spring的优雅处理：

/**
* 用户登录信息载体
*/
public class UserInfo {
    private String userName;

private String password;

public UserInfo(String userName, String password) {
        this.userName = userName;
        this.password = password;
    }
    
    public String getPassword() {
        return password;
    }
    public String getUserName() {
        return userName;
    }
}

/**
* 业务组件：被代理的对象
*/
public class SecureBean {

/**
     * 示范性的业务方法，这个方法将被拦截，加入一些附加逻辑
     */
    public void businessOperate() {
        System.out.println("业务方法businessOperate()被调用了！");
    }
}

/**
* 安全管理类：检查用户登录和管理用户注销登录的业务逻辑。
*/
public class SecurityManager {
    //为每一个SecurityManager创建一个本地线程变量threadLocal，用来保存用户登录信息UserInfo
    private static ThreadLocal threadLocal = new ThreadLocal();

/**
     * 用户登录方法，允许任何用户登录。
     * @param userName
     * @param password
     */
    public void login(String userName, String password) {
        // 假定任何的用户名和密码都可以登录
        // 将用户登录信息封装为UerInfo对象，保存在ThreadLocal类的对象threadLocal里面
        threadLocal.set(new UserInfo(userName, password));
    }

public void logout() {
        // 设置threadLocal对象为null
        threadLocal.set(null);
        int x = 0;
    }

public UserInfo getLoggedOnUser() {
        // 从本地线程变量中获取用户信息UerInfo对象
        return (UserInfo) threadLocal.get();
    }
}

import java.lang.reflect.Method;
import org.springframework.aop.MethodBeforeAdvice;

/**
* 前置通知类
*/
public class SecurityAdvice implements MethodBeforeAdvice {

private SecurityManager securityManager;

public SecurityAdvice() {
        this.securityManager = new SecurityManager();
    }

/**
     * 前置通知的接口方法实现。仅允许robh用户登录，强制设定的。
     */
    public void before(Method method, Object[] args, Object target)
            throws Throwable {
        UserInfo user = securityManager.getLoggedOnUser();

if (user == null) {
            System.out.println("没有用户凭证信息！，本前置通知仅仅允许robh用户登录，不信你试试看！");
            throw new SecurityException(
                    "你必须在调用此方法" + method.getName() + "前进行登录：");
        } else if ("robh".equals(user.getUserName())) {
            System.out.println("用户robh成功登录：OK！");
        } else {
            System.out.println("非法用户"+user.getUserName()+"，请使用robh登录，用户调用的方法是：" + method.getName());
            throw new SecurityException("用户" + user.getUserName()
                    + " 不允许调用" + method.getName() + "方法！");
        }
    }
}

 

import org.springframework.aop.framework.ProxyFactory;

/**
* 测试类，客户端
*/
public class SecurityExample {

public static void main(String[] args) {
        //得到一个 security manager
        SecurityManager mgr = new SecurityManager();

//获取一个SecureBean的代理对象
        SecureBean bean = getSecureBean();

//尝试用robh登录
        mgr.login("robh", "pwd");   //检查登录情况
        bean.businessOperate();     //业务方法调用
        mgr.logout();               //注销登录

//尝试用janm登录
        try {
            mgr.login("janm", "pwd");       //检查登录情况
            bean.businessOperate();         //业务方法调用
        } catch (SecurityException ex) {
            System.out.println("发生了异常: " + ex.getMessage());
        } finally {
            mgr.logout();                   //注销登录
        }

// 尝试不使用任何用户名身份调用业务方法
        try {
            bean.businessOperate();         //业务方法调用
        } catch (SecurityException ex) {
            System.out.println("发生了异常: " + ex.getMessage());
        }

}

/**
     * 获取SecureBean的代理对象
     *
     * @return SecureBean的代理
     */
    private static SecureBean getSecureBean() {
        //创建一个目标对象
        SecureBean target = new SecureBean();

//创建一个通知
        SecurityAdvice advice = new SecurityAdvice();

//获取代理对象
        ProxyFactory factory = new ProxyFactory();
        factory.setTarget(target);
        factory.addAdvice(advice);
        SecureBean proxy = (SecureBean) factory.getProxy();

return proxy;
    }
}

运行结果：

- Using JDK 1.4 collections
用户robh成功登录：OK！
业务方法businessOperate()被调用了！
非法用户janm，请使用robh登录，用户调用的方法是：businessOperate
发生了异常: 用户janm 不允许调用businessOperate方法！
没有用户凭证信息！，本前置通知仅仅允许robh用户登录，不信你试试看！
发生了异常: 你必须在调用此方法businessOperate前进行登录：

Process finished with exit code 0

观察运行结果，精确实现了验证的要求。

这里从底层观察Spring AOP的应用，实际应用中最好还是通过xml配置耦合代码。只有明白了AOP其中奥秘，使用Spring的配置才能深谙其中的精妙！