我有一个在 Java 6 / Spring 3 中实现的服务类,它需要一个注释来限制角色的访问。
我定义了一个名为RequiredPermission 的注释,它的值属性是一个或多个来自名为OperationType 的枚举的值:
public @interface RequiredPermission {
/**
* One or more {@link OperationType}s that map to the permissions required
* to execute this method.
*
* @return
*/
OperationType[] value();}
public enum OperationType {
TYPE1,
TYPE2;
}
package com.mycompany.myservice;
public interface MyService{
@RequiredPermission(OperationType.TYPE1)
void myMethod( MyParameterObject obj );
}
package com.mycompany.myserviceimpl;
public class MyServiceImpl implements MyService{
public myMethod( MyParameterObject obj ){
// do stuff here
}
}
我还有以下方面定义:
/**
* Security advice around methods that are annotated with
* {@link RequiredPermission}.
*
* @param pjp
* @param param
* @param requiredPermission
* @return
* @throws Throwable
*/
@Around(value = "execution(public *"
+ " com.mycompany.myserviceimpl.*(..))"
+ " && args(param)" + // parameter object
" && @annotation( requiredPermission )" // permission annotation
, argNames = "param,requiredPermission")
public Object processRequest(final ProceedingJoinPoint pjp,
final MyParameterObject param,
final RequiredPermission requiredPermission) throws Throwable {
if(userService.userHasRoles(param.getUsername(),requiredPermission.values()){
return pjp.proceed();
}else{
throw new SorryButYouAreNotAllowedToDoThatException(
param.getUsername(),requiredPermission.value());
}
}
参数对象包含一个用户名,我想在允许访问该方法之前查找用户所需的角色。
当我将注释放在 MyServiceImpl 中的方法上时,一切正常,切入点匹配并且方面启动。但是,我相信注释是服务合同的一部分,应该与接口一起发布在单独的 API 包中. 显然,我不想将注释放在服务定义和实现(DRY)上。
我知道在 Spring AOP 中有一些情况是由注释一个接口方法(例如事务)触发的。这里是否有特殊的语法,或者开箱即用是不可能的。
PS:我没有发布我的弹簧配置,因为它似乎工作得很好。不,这些既不是我原来的类也不是方法名。
PPS:实际上,这是我的 spring 配置的相关部分:
<aop:aspectj-autoproxy proxy-target-class="false" />
<bean class="com.mycompany.aspect.MyAspect">
<property name="userService" ref="userService" />
</bean>