Discussion :

[robert_trudel]

salut

dans une classe j'ai quelques méthodes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
public class ManageUser{
 public void getUser(int i)...

comment faire pour que chaque fois que la méthode getUser soit appelé que j'exécute une autre méthode avant elle (cette autre méthode vérifierais si la personne qui exécute ça à les permissions..

merci



merci

[Mohicane]

Je crois que tu es partis pour te compliquer la vie mais si je peux te donner quelques piste sur des solutions possibles:
- Faire un appel à la méthode désirer dans getUser ... C'est toujours bon d'enfoncer des portes ouvertes en informatique.
- Créer une facade (design Pattern) qui appellera ta méthode de vérification de droit puis le vrai getUser
- Utiliser un framework de sécurité comme Acegi par exemple qui une fois bien configurer fera le travail pour toi (allez sur le site pour examiner la doc)

Si d'autre personnes ont des idées ... Mais pour ma part je pense que, si tu veux vraiment t'occuper de gérer l'autorisation tu es tout aussi bien d'utiliser un outil comme Acegi.

Sur ce ...

Mohicane

[bugsan]

Voila une solution spring AOP

Tu dois créer un MethodInterceptor, et avec Spring-AOP, tu appliques cet intercepteur sur ton manager.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
public class SecurityMethodInterceptor implements MethodInterceptor {
  public Object invoke(MethodInvocation invocation) throws Throwable {
     if(invocation.getMethod().getName().startWith("update")) {
         throw new RuntimeException("méthode non autorisée");
     } else {
         return invocation.proceed();
     }
  }
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<bean id="securityAdvice" class="SecurityMethodInterceptor" />
 
<aop:config>
    <aop:pointcut id="managerPointcut" expression="execution(public * foo.bar.ManagerUser.*.*(..))"/>
    <aop:advisor pointcut-ref="managerPointcut" advice-ref="securityAdvice"/>
</aop:config>

EDIT: tu pourrais utiliser Acegi, qui fonctionne sur le principe que je viens de donner, mais si tu ne maitrises pas AOP, il vaut mieu commencer par des exemples simples...

[robert_trudel]

Voila une solution spring AOP

Tu dois créer un MethodInterceptor, et avec Spring-AOP, tu appliques cet intercepteur sur ton manager.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
public class SecurityMethodInterceptor implements MethodInterceptor {
  public Object invoke(MethodInvocation invocation) throws Throwable {
     if(invocation.getMethod().getName().startWith("update")) {
         throw new RuntimeException("méthode non autorisée");
     } else {
         return invocation.proceed();
     }
  }
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<bean id="securityAdvice" class="SecurityMethodInterceptor" />
 
<aop:config>
    <aop:pointcut id="managerPointcut" expression="execution(public * foo.bar.ManagerUser.*.*(..))"/>
    <aop:advisor pointcut-ref="managerPointcut" advice-ref="securityAdvice"/>
</aop:config>

EDIT: tu pourrais utiliser Acegi, qui fonctionne sur le principe que je viens de donner, mais si tu ne maitrises pas AOP, il vaut mieu commencer par des exemples simples...

ok merci

avec ton exemple, j'ai lu un peu sur le sujet et avec ton exemple, je me pose quelques questions...

dans ta classe SecurityMethodInterceptor, que fera invocation.proceed?


dans la config aop

- expression, je vois que tu utilises une expression régulière.... il y a moyen de spécifier seulement la méthode auquel on veut la connecter...

comment aop saura qu'il faut qu'il execute ca avant l'appel de ma méthode et non après?

[bugsan]

ok merci
dans ta classe SecurityMethodInterceptor, que fera invocation.proceed?

Cela execute la vraie méthode qui était sensée être appelée.

dans la config aop

- expression, je vois que tu utilises une expression régulière.... il y a moyen de spécifier seulement la méthode auquel on veut la connecter...

Cela s'appelle un "point de coupe".
Et oui pour une seule méthode ca devrait etre : execution(public * foo.bar.ManagerUser.getUser(..))
comme tu peux le comprendre cela correspond à "visibilité retour package.class.method(args)"

comment aop saura qu'il faut qu'il execute ca avant l'appel de ma méthode et non après?

Cela correspond au pattern décorateur. En fait quand tu vas demander à Spring le bean ManagerUser... il ne va pas te retourner un simple objet ManagerUser, mais un ManagerUser "enrobé" avec le fameux MethodInterceptor. Il faut imaginer les intercepteur comme des poupées russes.

Il y a plusieurs type d'interception de méthode. Before, After, Around... dans ce cas ci, c'est "Around". Tout ça est expliqué dans la doc de Spring. http://static.springframework.org/sp...tml#aop-schema

Around est le plus "puissant", c'est celui qui permet de placer du code "autour", avant et apres le proceed(), meme de décider de ne pas l'appeler.

Pour aller plus loin : dans le cadre de gestion de droits, il faut que tu injectes dans le SecurityMethodInterceptor, un autre manager qui sait controler les autorisations en lui passant un utilisateur et un nom de methode, et qui peut retourner true ou false (par exemple).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
public class SecurityMethodInterceptor implements MethodInterceptor {
    private AuthorizationManager authManager;
 
    public void setAuthorizationManager(AuthorizationManager authManager) {
        this.authManager = authManager;
    }
 
    public Object invoke(....) {
        // ...
        if( ! authManager.checkResource(invocation.getMethod().getName(), user) {
            throw new RuntimeException("forbidden");
        } else {
            return invocation.proceed();
        }
    }

Je ne te cache pas que c'est le principe même d'Acegi que l'on a évoqué plus haut.

[robert_trudel]

Cela execute la vraie méthode qui était sensée être appelée.



Cela s'appelle un "point de coupe".
Et oui pour une seule méthode ca devrait etre : execution(public * foo.bar.ManagerUser.getUser(..))
comme tu peux le comprendre cela correspond à "visibilité retour package.class.method(args)"



Cela correspond au pattern décorateur. En fait quand tu vas demander à Spring le bean ManagerUser... il ne va pas te retourner un simple objet ManagerUser, mais un ManagerUser "enrobé" avec le fameux MethodInterceptor. Il faut imaginer les intercepteur comme des poupées russes.

Il y a plusieurs type d'interception de méthode. Before, After, Around... dans ce cas ci, c'est "Around". Tout ça est expliqué dans la doc de Spring. http://static.springframework.org/sp...tml#aop-schema

Around est le plus "puissant", c'est celui qui permet de placer du code "autour", avant et apres le proceed(), meme de décider de ne pas l'appeler.

Pour aller plus loin : dans le cadre de gestion de droits, il faut que tu injectes dans le SecurityMethodInterceptor, un autre manager qui sait controler les autorisations en lui passant un utilisateur et un nom de methode, et qui peut retourner true ou false (par exemple).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
public class SecurityMethodInterceptor implements MethodInterceptor {
    private AuthorizationManager authManager;
 
    public void setAuthorizationManager(AuthorizationManager authManager) {
        this.authManager = authManager;
    }
 
    public Object invoke(....) {
        // ...
        if( ! authManager.checkResource(invocation.getMethod().getName(), user) {
            throw new RuntimeException("forbidden");
        } else {
            return invocation.proceed();
        }
    }

Je ne te cache pas que c'est le principe même d'Acegi que l'on a évoqué plus haut.

avec l'exemple que tu donnes, est'on obliger de créer un fichier de config