14.2 實施保護領域對象的重要步驟
在熟悉Acegi中ACL子系統的各個術語及基本概念后����,我們需要通過實際企業應用驗證它們,從而加深對它們的理解����。
14.2.1 RDBMS表的建立
為了實施基于Acegi ACL領域對象授權支持的企業應用����,開發者必須建立好同ACL相關的4張RDBMS表��。它們的名字和含義如下��。
l acl_class:用于存儲領域對象對應的全限定名,比如sample.contact.Contact�����。
l acl_sid:用于存儲ACL授權對象�����,或者是用戶名�����,或者是角色名。比如,marissa用戶��、ROLE_USER角色��。
l acl_object_identity:用于存儲領域對象對應的Acl信息。
l acl_entry:用于存儲Acl(acl_object_identity)對應的AccessControlEntry信息��。默認時����,acl_object_identity同acl_entry構成了主從表關系,并以1:N關系存在。
圖14-8展示了這4張表間的具體關系�����,這是采用Hibernate Tools獲得的圖形化表示�����,此外����,圖中還展示了Acegi contacts示例存儲領域對象的contacts表��、存儲用戶和角色信息的users和authorities表����。值得開發者注意的是,contacts、users、authorities表與ACL對應的4張表并無直接聯系��。接下來�����,我們來一一研究這些表的設計和內容�����。由于Acegi contacts示例采用了HSQLDB RDBMS����,因此這些表對應的SQL DDL語句不能夠直接用于其他生產數據庫,比如Oracle 10g、SQL Server 2005。在領會Acegi ACL的思想后�����,開發者能夠很輕松地給出特定數據庫版本的ACL表定義�����。
圖14-8 contacts示例設計的RDBMS表
其一�����,users表的定義如下:username列用于存儲用戶名,password列用于存儲密碼��,enabled列用于存儲啟用標志位��。
create table users(
username varchar_ignorecase(50) not null primary key,
password varchar_ignorecase(50) not null,
enabled boolean not null
);
圖14-9給出了users表中已存儲的示例數據��。這里的password列的內容經過了MD5加密處理。
圖14-9 users表已存儲的示例數據
其二��,authorities表的定義如下:username列用于存儲用戶名��,authority列用于存儲角色名�����。
create table authorities(
username varchar_ignorecase(50) not null,
authority varchar_ignorecase(50) not null,
constraint fk_authorities_users foreign key(username) references users(username)
);
create unique index ix_auth_username on authorities(username,authority);
圖14-10給出了authorities表中已存儲的示例數據,其中的username列數據引用到users表中username列的數據�����。默認時�����,users和authorities表處于1:N的關系。
圖14-10 authorities表已存儲的示例數據
其三��,contacts表的定義如下:id列用于標識領域對象����,contact_name列存儲聯系人的姓名,而email列用于存儲聯系人的郵件地址��。
create table contacts(
id bigint not null primary key,
contact_name varchar_ignorecase(50) not null,
email varchar_ignorecase(50) not null
);
圖14-11給出了contacts表中已存儲的示例數據�����。
圖14-11 contacts表已存儲的示例數據
在實際企業應用中�����,存在大量的領域對象,因而會存在大量的RDBMS表來存儲它們����。類似地��,實際企業應用存儲用戶、角色信息的RDBMS表也不一定是users��、authorities表�����,相信仔細閱讀過本書相關章節的開發者都知道如何自定義它們�����。好了,再來研究4張ACL表的SQL DDL語句及相應的示例數據��。
其四�����,acl_class表的定義如下:id列用于標識領域對象對應的全限定名��,而class列用于存儲領域對象對應的全限定名。
create table acl_class(
id bigint generated by default as identity(start with 100) not null primary key,
class varchar_ignorecase(100) not null,
constraint unique_uk_2 unique(class)
);
圖14-12給出了acl_class表中已存儲的示例數據��。由于Acegi contacts示例僅僅存在單個Contact領域對象類型����,因此這一表僅僅存在單條記錄。
圖14-12 acl_class表已存儲的示例數據
其五����,acl_sid表的定義如下:principal列用于給定sid列的類型�����,即同一記錄中存儲了用戶名還是角色名。相比之下,sid列存儲用戶名或者角色名。如果sid列存儲了用戶名�����,則principal列取值為true����;如果sid列存儲了角色名,則principal列取值為false��。
create table acl_sid(
id bigint generated by default as identity(start with 100) not null primary key,
principal boolean not null,
sid varchar_ignorecase(100) not null,
constraint unique_uk_1 unique(sid,principal)
);
圖14-13給出了acl_sid表中已存儲的示例數據�����。由于sid列存儲的數據都是用戶名,因此principal列取值都為true。在某種程度上,acl_sid對應于Sid對象�����。
圖14-13 acl_sid表已存儲的示例數據
其六����,acl_object_identity表的定義如下:id列為主鍵。其中����,object_id_class引用到acl_class中的id列取值�����,圖14-14中的object_id_class列取值都是100,即Contact領域對象類型�����。類似地�����,object_id_identity列的內容起到綁定特定領域對象的作用����。比如��,在contacts示例應用中��,object_id_identity列的內容同contacts表中id列的內容保持一致��。注意����,開發者也可以通過其他策略維護object_id_identity列同特定領域對象間的綁定關系。默認時����,我們建議領域對象都能夠含有id屬性��,因為ObjectIdentityImpl可能會通過反射機制調用到領域對象的getId()方法,并將返回結果存儲到object_id_identity列����。最后����,parent_object列用于指定當前ACL的父ACL��,而own_sid列用于存儲當前ACL的主人��,entries_inheriting列用于指定當前ACL是否繼承父ACL(含有的ACE集合)。可以看出����,owner_sid列取值引用到acl_sid中id列取值��。
create table acl_object_identity(
id bigint generated by default as identity(start with 100) not null primary key,
object_id_class bigint not null,
object_id_identity bigint not null,
parent_object bigint,
owner_sid bigint,
entries_inheriting boolean not null,
constraint unique_uk_3 unique(object_id_class,object_id_identity),
constraint foreign_fk_1 foreign key(parent_object)references acl_object_identity(id),
constraint foreign_fk_2 foreign key(object_id_class)references acl_class(id),
constraint foreign_fk_3 foreign key(owner_sid)references acl_sid(id)
);
圖14-14給出了RDBMS acl_object_identity表中已存儲的示例數據。在某種程度上��,acl_object_identity對應于Acl對象��。
圖14-14 acl_object_identity表已存儲的示例數據
其七��,acl_entry表的定義如下:id列是主鍵。其中��,acl_object_identity表指定當前ACE所屬的ACL�����,即對應到acl_object_identity表中的id列。類似地��,sid列用于存儲當前ACE所屬的授權對象�����,它對應于acl_sid表中的id列��;ace_order列對ACE集合進行排序;mask列存儲ACE權限信息����,具體情況請參考BasePermission和CumulativePermission類�����;granting列表明當前的ACE權限是否已經授給了同一記錄持有的sid列(用戶名或角色);audit_success和audit_failure列用于審計目的�����,供各種基于Acegi ACL的管理工具在審計ACL(ACE)時使用�����。開發者可以借助于Acegi暴露的API開發出相應的審計(管理)工具��。
create table acl_entry(
id bigint generated by default as identity(start with 100) not null primary key,
acl_object_identity bigint not null,
ace_order int not null,
sid bigint not null,
mask integer not null,
granting boolean not null,
audit_success boolean not null,
audit_failure boolean not null,
constraint unique_uk_4 unique(acl_object_identity,ace_order),
constraint foreign_fk_4 foreign key(acl_object_identity) references acl_object_identity(id),
constraint foreign_fk_5 foreign key(sid) references acl_sid(id)
);
圖14-15給出了RDBMS acl_entry表中已存儲的示例數據。在某種程度上�����,acl_entry對應于AccessControlEntry對象��。
圖14-15 acl_entry表已存儲的示例數據