考虑这段代码:
class DatabaseAction(/* ... */) {
public void deleteUser(User userToDelete, User currentUser) {
/* ... */
}
}
是否可以向 deleteUser 添加基于方面的注释,例如 @Privilege(ADMIN),这
- 通过检查
currentUser是否具有必要的权限级别ADMIN向deleteUser方法添加访问检查,否则抛出异常, - 向类中添加一个
deleteUserAllowed方法,该方法仅包含检查(没有实际执行命令),该方法返回一个 boolean 值,是否允许currentUser?
我知道可以向具有方面的类添加方法,但我不确定是否可以基于实际类中的其他方法名称添加方法。
最后,我想象的代码在各方面编织后会是什么样子:
class DatabaseAction(/* ... */) {
@Privilege(ADMIN)
public void deleteUser(User userToDelete, User currentUser) {
if (!<accessAllowed(ADMIN, currentUser)>) throw new InsufficientRightsException()
else // go on
/* ... */
}
public deleteUserAllowed(User userToDelete, User currentUser) {
<accessAllowed(ADMIN, currentUser)>
}
}
最佳答案
是的,这是可能的,但看起来这可能是一个非常狭窄的建议。
首先,我假设您上面给出的签名是错误的,并且 User 是 userToDelete 和 currentUser 的类名。
其次,我假设在这种情况下,您想要匹配第二个 User,而不是必须称为 currentUser 的变量。
但是,考虑到这些假设,您还可以在哪里添加此 @Privilege(ADMIN) 注释?在这种情况下,它仍然适用于第二个用户吗?
如果您不清楚这个问题,也许您使用了错误的工具来完成这里的工作。 (另一方面,也许您正在使用完全正确的工具,而我只是还没有理解这个问题。)
编辑: 与所需任务匹配的切入点如下所示:
before(Privilege privilege, User user) : @annotation(privilege) &&
call(* *.*(User, User)) && args(.., user) {
if (!accessAllowed(privilege.getLevel(), user))
throw new InsufficientRightsException()
}
请注意,这仅与具有两个用户参数的情况匹配。您可以使用 .. 在之前或之后允许更多参数。
此外,请确保您的注释使用@Retention(RetentionPolicy.RUNTIME)。
如果您要查找的行为因返回类型而异,则可以将 call(* *.*(User, User)) 更改为(例如)call(void *.*(User, User)) 和 call(boolean *.*(User, User))。也就是说,你的目标越窄,某个方面就越不可能是你想要的。如果你想知道用户是否有访问权限,我只需使用普通 Java 将该代码放入即可。即,返回accessAllowed(ADMIN, user)。
关于java - 如何使用 AspectJ 添加访问检查到方法(并基于 "advised"方法创建新方法)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6760342/