Java Hibernate/Spring:是否存在行级安全性?
我不确定我是否正确使用了Spring Security的功能 我的问题是,我想。但我能找到的每个教程都是关于一个简单的。但是我怎样才能用它来摆脱Java Hibernate/Spring:是否存在行级安全性?,java,hibernate,spring-security,access-control,Java,Hibernate,Spring Security,Access Control,我不确定我是否正确使用了Spring Security的功能 我的问题是,我想。但我能找到的每个教程都是关于一个简单的。但是我怎样才能用它来摆脱 if(item .getStore().getId() == store.getId()) { /* .. */ } 在本例中: // StoreService.java @Transactional public ItemDTO deleteItem(String sessionId, Long storeId, ItemDTO itemDto)
if(item .getStore().getId() == store.getId()) { /* .. */ }
// StoreService.java
@Transactional
public ItemDTO deleteItem(String sessionId, Long storeId, ItemDTO itemDto) {
// sessionId is the cookie I have placed in my database
// This way I want to ensure that I am only accessing a store
// that is associated with the logged in store owner (the user basically)
Store store = this.storeOwnerRepository.getStore(sessionId, storeId);
Item item = ConvertDTO.convertItem(store, itemDto);
// THIS CHECK IS WHAT I WANT TO GET RID OF:
// Check if the store ID that I got using the cookie is the
// same ID as the store ID from the item that should be deleted
if(item.getStore().getId() == store.getId()) {
item = this.storeOwnerRepository.deleteItem(item);
} else {
// If this didn't work we have a potentially hostile user:
throw new RuntimeException("Is somebody trying to delete items from a store he doesn't own?");
}
itemDto = ConvertEntity.convertItem(item);
return itemDto;
}
所以我很困惑如何正确地做到这一点。有什么想法吗?您可能应该实现Spring安全性和工作角色及权限,这样您就可以确保不会收到非管理员用户的请求(通过使用
@Secured(“ROLE\u SOMEROLE”))我认为你所说的更多的是验证,而不是安全性 只要在同一数据库中存储多个客户端/客户的数据,就必须小心防止用户无意(或恶意)访问彼此的数据
我建议您在web服务层执行此验证,并将业务逻辑的重点放在需要执行的操作的细节上。我们已使用在域对象上实现了这种安全性。这包括:
- 创建Spring的
接口的实现,该接口知道如何返回给定主体对给定域对象的权限。例如,如果主体与该域对象具有关系foo,则授予读写权限;如果是关系栏,则授予读取、写入和删除权限org.springframework.security.acls.model.AclService - 向对域对象进行操作的服务方法添加注释,如定义要强制执行的访问控制断言的
和org.springframework.security.access.prepost.PreAuthorize
。例如,此方法要求当前经过身份验证的用户对类型X的参数具有“写入”权限,或者该方法要求当前经过身份验证的用户对返回对象具有“读取”权限。如果任一断言失败,将抛出一个org.springframework.security.access.prepost.PreAuthorizeAccessDeniedException - 调整Spring社交配置以启用方法级安全性。我在SpringSecurity的XML名称空间中使用了
全局方法安全性元素
@PostAuthorize("hasPermission(returnObject, 'READ')")
public MyItem getMyItem(Long id) {
return dao.getMyItem(id);
}
@PreAuthorize("hasPermission(#toDelete, 'DELETE')")
public void deleteMyItem(MyItem toDelete) {
dao.delete(toDelete);
}
public Acl readAclById(ObjectIdentity objectIdentity, List<Sid> sids) throws NotFoundException {
/*
examines objectIdentity which identifies domain object in question, and sids which identifies the principal who wants permissions on the domain object, then returns an ACL instance with permission grants on that domain object for that/those principals
*/
return new AclImpl(...);
}
如果查询数据库以查看用户是否与试图修改的存储关联,如果是,则执行查询,如果不是,则返回其他内容如何?@jpganz18这就是我在示例代码中使用
item.getStore().getId()==store.getId()执行的操作店主storeOwnerRepositoryADMINADMIN@RejectAlwaysIf(“storeOwner.id!=store.storeOwner.id”)公共void deleteItem(/*..*/){/*..*/}-但当然,这个约束应该是配置的一部分或其他任何内容。您可以关联对存储的权限,如write-store-1、write-store-2、write-store-3,然后检查哪些权限具有,但我会对每个存储都这样做,对吗?因为会有很多商店^^嗯,在这种情况下,是的,我真的没有看到任何只有spring security拥有的解决方案,因为它只是一个安全层,这更像是一个业务逻辑问题,这很奇怪-我真的认为spring可以在这里帮助我。信息技术
<beans:bean id="permissionEvaluator"
class="org.springframework.security.acls.AclPermissionEvaluator">
<beans:constructor-arg ref="aclServiceImpl" />
</beans:bean>
<beans:bean id="expressionHandler"
class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
<beans:property name="permissionEvaluator" ref="permissionEvaluator" />
</beans:bean>
<global-method-security pre-post-annotations="enabled">
<expression-handler ref="expressionHandler" />
</global-method-security>