【導(dǎo)讀】等問題都屬于應(yīng)用系統(tǒng)中的“橫切”關(guān)注方面的問題。項目實訓(xùn)——Spring框架技術(shù)”一書中的第6章“AOP和SpringAOP技術(shù)”和第7章“Spring. AOP中的Advice通知”作了比較詳細(xì)的介紹。作者在此更多地是從軟件系統(tǒng)架構(gòu)設(shè)計的角。介紹面向切面編程技術(shù)。統(tǒng)進行各個層次的“封裝”和“隔離”，并產(chǎn)生出各個相關(guān)聯(lián)的功能模塊。的交互機制來模擬應(yīng)用系統(tǒng)所要解決的問題領(lǐng)域中真實的實體的工作狀態(tài)。依賴和關(guān)聯(lián)、內(nèi)外組合）的問題時，顯示出了其強大的能力。對此，讀者通過學(xué)習(xí)本章第。一節(jié)“面向?qū)ο蟮募軜?gòu)設(shè)計”中的有關(guān)內(nèi)容，應(yīng)該有所體會！“滲透”有某個相同的功能模塊的代碼。的功能需求圖示。重新進行功能測試。人員應(yīng)該應(yīng)用面向切面的設(shè)計思想實現(xiàn)“封裝”和“隔離”共同功能行為的程序模塊。一步擴展和完善、并且兩者是相互配合和相互補充。應(yīng)用服務(wù)器平臺加以實現(xiàn)和提供，并形成了專門的J2EE容器服務(wù)的規(guī)范。務(wù)層或者持久層等應(yīng)用系統(tǒng)底層的組件中的方法進行攔截。

　　

【正文】 } 當(dāng)然，對目標(biāo)方法的攔截則應(yīng)該應(yīng)用面向切面思想設(shè)計和實現(xiàn)、并從具體的業(yè)務(wù)功能類代碼中分離出來。 在 銀行賬 戶管理系統(tǒng)中基于面向切面思想設(shè)計和實現(xiàn) 性能監(jiān)控功能 由于本書 所應(yīng)用 的 銀行賬 戶 信息 管理系統(tǒng) 范 例沒有應(yīng)用 Spring 框架技術(shù)，因此在性能監(jiān)控功能的具體實現(xiàn)方面沒有采用 Spring框架中的 AOP 技術(shù)，而是應(yīng)用動態(tài)代理技術(shù)實現(xiàn)。具體實現(xiàn)的核心功能代碼片段請見下面的 【例 33】 。 【例 33】 應(yīng)用動態(tài)代理技術(shù)實現(xiàn) 性能監(jiān)控功能的代碼 示例 package 。 import .*。 public class ProfilingDynamicProxy implements InvocationHandler{ private Object delegate。 private long totalTime。 public long getTotalTime(){ return totalTime。 //返回所監(jiān)控的某個業(yè)務(wù)方法執(zhí)行中所花費 的時間 } public Object bind(Object delegate){ //delegate 為被代理的目標(biāo)類對象實例 楊教授工作室 精心創(chuàng)作的優(yōu)秀程序員 職業(yè)提升必讀系列資料 楊教授工作室，版權(quán)所有，盜版必究 ， 14/17 頁 = delegate。 return (().getClassLoader(), ().getInterfaces(), this)。 } public Object invoke(Object proxy, Method method, Object[] args) throws Throwable{ Object result = null。 long startedTime。 try{ startedTime=()。 result = (delegate, args)。 totalTime=()startedTime。 } catch (Exception e){ .... //異常處理的代碼，在此加以省略 } return result。 } } 對于性能監(jiān)控中的各種數(shù)據(jù)的顯示功能的實現(xiàn)，在 銀行賬 戶 信息 管理系統(tǒng) 項目中主要是應(yīng)用開源的 JFreeChart 圖表框架技術(shù)實現(xiàn)，具體的顯示效果請見下圖 所示 的截圖 。 圖 對于性能監(jiān)控中的各種數(shù)據(jù)的顯示功能的實現(xiàn) 楊教授工作室 精心創(chuàng)作的優(yōu)秀程序員 職業(yè)提升必讀系列資料 楊教授工作室，版權(quán)所有，盜版必究 ， 15/17 頁 注意： 開源 JFreeChart 圖表框架具體的應(yīng)用技術(shù)請讀者參考“ J2EE 項目實訓(xùn) —— Struts 框架技術(shù)”一書中的第 10 章“整合 Struts 和其他框架技術(shù)”的有關(guān)內(nèi)容 。 基于 面向 切 面 思想 的 系統(tǒng) 架構(gòu)設(shè)計 實現(xiàn)安全功能示例 對于一個成功的 J2EE應(yīng)用系統(tǒng)來說安全是必不可少的 由于 Web 應(yīng)用系統(tǒng)是基于 HTTP 協(xié)議實現(xiàn)數(shù)據(jù)的傳遞，而 HTTP 協(xié)議底層的 TCP/IP 協(xié)議在制訂之初，沒有把安全考慮在內(nèi)，協(xié)議中存在 一定 的安全問題 —— 如數(shù)據(jù)采用明文傳輸。因此， 基 于 Web 方式的應(yīng)用系統(tǒng)在安全方面存在一定的薄弱性 ， 在網(wǎng)絡(luò)中傳輸?shù)母鞣N敏感 數(shù)據(jù) （ 如 合同﹑金融賬號、賬號密碼和支付信息等） 可以 被非授權(quán)的用戶訪問、閱讀和修改 。 因此 ，對于 電子商務(wù)、電子政務(wù) 和 電子 稅務(wù) 等基于 Web 方式的各種應(yīng)用系統(tǒng) ， 都需要確保系統(tǒng) 本身 的安全性 。對一個 基于 Web 方式的企業(yè)級應(yīng)用系統(tǒng)的保護，一般可以從三個不同層面加以實現(xiàn) —— 其一是身份驗證（ Authenticate），其次是控制授權(quán)（ Authorization），最后為安全傳輸。 （ 1）身份驗證 主要是判斷當(dāng)前請求者是否是本應(yīng)用系統(tǒng)中的合法用戶，這可 以通過驗證口令、數(shù)字證書來完成。而身份驗證的具體實現(xiàn)方式一般是強制訪問者進行系統(tǒng)登陸。 （ 2）控制授權(quán) 主要是判斷請求者用戶是否擁有訪問某一資源或者產(chǎn)生某種行為的權(quán)限，例如判斷某一請求者是否有權(quán)利調(diào)用數(shù)據(jù)訪問組件中的刪除數(shù)據(jù)的方法。 （ 3）安全傳輸 也就是需要保證客戶端或者服務(wù)端的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不會被未授權(quán)的第三者修改。這可以 利用安全套接字層（ Secure Socket Layer， SSL）和傳輸層安全性（ Transport Layer Security， TLS）協(xié)議實現(xiàn)這兩種功能。 對訪問者 的 身 份信息進行驗證 （ 1）應(yīng)用驗證碼 能夠有效地 防止各種破解程序強行登陸系統(tǒng) 應(yīng)用系統(tǒng)通過對訪問者的身份信息進行驗證，以證明該訪問者的身份是真實的。而只有訪問者通過了身份驗證，才可以對該訪問者進行授權(quán)。在 Web 應(yīng)用系統(tǒng)中，身份認(rèn)證的主要實現(xiàn)方式是強制訪問者提供“用戶名 /密碼”信息。 楊教授工作室 精心創(chuàng)作的優(yōu)秀程序員 職業(yè)提升必讀系列資料 楊教授工作室，版權(quán)所有，盜版必究 ， 16/17 頁 但由于密碼是靜態(tài)的數(shù)據(jù)，在輸入或者驗證過程中需要在客戶端的計算機內(nèi)存中和在網(wǎng)絡(luò)中傳輸，易被駐留在客戶端的計算機內(nèi)存中的各種“木馬程序”或網(wǎng)絡(luò)中的“監(jiān)聽程序”截獲；另外，還需要防止各種破解程序強行登陸系統(tǒng) —— 這可以通過強制要求訪問者提供 系統(tǒng)所提示的“驗證碼”。請見下圖 所示的登陸頁面表單的圖示。 圖 登陸頁面表單的圖示 （ 2）利用 J2EE Web 過濾器（ Filter）組件技術(shù) 實現(xiàn) 身份驗證 利用過濾器組件實現(xiàn)對應(yīng)用系統(tǒng)中的特定請求的 URL 地址進行攔截和解析，并識別是否為對敏感資源進行的請求。如果是，則再進一步識別請求的用戶此時的身份狀態(tài)信息（一般是從 HttpSession 對象中獲得記錄身份狀態(tài)信息的實體組件類 UserInfoVO 的對象信息），然后再通過 RBAC（ RoledBased Access Control）的機制， 將此鏈接需要的訪問權(quán)限與當(dāng)前訪問的用戶擁有的權(quán)限進行比較，然后進行相應(yīng)的訪問控制處理。 對訪問者 控制和授權(quán) 由于應(yīng)用過濾器組件方法實現(xiàn)身份驗證只能通過 URL 地址來反映被監(jiān)控的目標(biāo)資源，而不能滲透到系統(tǒng)內(nèi)部的業(yè)務(wù)功能類中的方法，從而也就無法實現(xiàn)對訪問者的行為進行控制和授權(quán)。 當(dāng)然，不希望把對訪問者的行為進行控制和授權(quán)功能實現(xiàn)的代碼與具體的業(yè)務(wù)組件類本身直接藕合在一起。因此，可以應(yīng)用面向切面思想進行封裝和隔離。因此，在 賬 戶管理系統(tǒng)中直接應(yīng)用動態(tài)代理技術(shù)實現(xiàn)對訪問者控制和授權(quán)。 下圖 為 訪問者 非法訪問 時的錯誤提示信息顯示的圖示。 楊教授工作室 精心創(chuàng)作的優(yōu)秀程序員 職業(yè)提升必讀系列資料 楊教授工作室，版權(quán)所有，盜版必究 ， 17/17 頁 圖 訪問者非法訪問時的錯誤提示信息顯示的圖示