- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在(尝试:)在Spring Boot应用程序中使用spring-boot-starter-data-rest通过真实的,成熟的restFULL api快速提供模型服务。很好。
问题1(安全性):
Spring JpaRepository的优点是我不需要编写基本功能(save,findAll等)。是否可以在不覆盖所有自动实现方法的情况下保护这些自动实现的方法(浪费了Spring为我提供的功能)?即:
public interface BookRepository extends JpaRepository<Book, Long> {
@PreAuthorize("hasRole('ROLE_ADMIN')")
<S extends Book> Book save(Book book);
}
最佳答案
问题1:安全性
一些old docs提到:
[...]您向不受您控制的客户端公开了一组预定义的操作,直到现在几乎全部还是全部。似乎没有办法只公开读取操作,而完全隐藏状态更改操作。
这意味着所有方法都是自动继承的(也按照标准java
继承行为)。
根据@PreAuhtorize文档,您还可以将注释放置在类/接口声明上。
因此,您只需一个基本接口即可扩展JpaRepository
@NoRepositoryBean // tell Spring not create instances of this one
@PreAuthorize("hasRole('ROLE_ADMIN')") // all methods will inherit this behavior
interface BaseRepository<T, ID extends Serializable> extends Repository<T, ID> {}
Repository
扩展名
BaseRepository
。
layer-web
(或表示层):访问
layer-business
,不能访问
db-layer
。可以看到
DTO
模型,但不能看到
DB models
layer-business
(或业务层):访问
db-layer
,但不能访问
DAO
layer-db
(或数据层):转换
DTO -> DB model
。持久化对象并提供查询结果
layer-business
类之前检查
Repository
中的角色。
@Service
public interface BookService {
@PreAuthorize("hasRole('ROLE_ADMIN')")
ActionResult saveToDatabase(final BookDTO book);
}
@Service
@PreAuthorize("hasRole('ROLE_ADMIN')")
public interface BookService {
ActionResult saveToDatabase(final BookDTO book);
}
Spring
提供了所有必要的资源。
AOP
,则可以实现自己的逻辑。
@Service
public interface BookService {
// custom annotation here
@RequireUserOwnership(allowAdmin = false)
ActionResult saveToDatabase(final BookDTO book);
}
public class EnsureUserOwnershipInterceptor implements MethodInterceptor {
@Autowired
private AuthenticationService authenticationService;
@Override
public Object invoke(Invocation invocation) throws Throwable {
// 1. get the BookDTO argument from the invocation
// 2. get the current user from the auth service
// 3. ensure the owner ID and the current user ID match
// ...
}
}
AOP
的有用资源可以在
here和
here中找到。
DTO
和
DB models
DTO
放入
@Repository
中。您被迫将一个转换为另一个。同时,您还必须验证转换是否有效。
DTO
(脏数据)不会以任何方式接触数据库,并且要在数据库与应用程序的其余部分之间放置一堵由逻辑约束构成的墙。
Spring
与
model-conversion frameworks集成得很好。
multi-layer
/
modular
Web应用程序的优点是什么?
hotfix
时,更改某些代码将创建另外两个bug。
module-batch
模块,其中包含应用程序的后台工作,则将其提取并将其实现到另一个应用程序中会更容易。如果您的模块包含查询数据库,访问任何类型的数据,为前端提供API的逻辑等等,那么您将基本上被迫将所有代码导出到新应用程序中。重构在那时将是脖子上的痛苦。
modules
而不是整个应用程序。同样适用于前端自由职业者等。我也经历过这种情况。该公司希望数据库专家修复应用程序完成的查询,但不希望他们可以访问整个代码。最后,他们放弃了数据库优化,因为那样会使外部暴露太多敏感信息。
DTO
/
DB model
分离的优点是什么?
DTO
不会触及数据库。这为您提供了更高的安全性,可抵御来自外部的攻击
DTO
不需要将所有字段都实现为db模型。实际上,您甚至可以将
DAO
映射到许多
DTO
或相反。许多信息不应该到达前端,而使用
DTO
可以轻松地做到这一点。
DTO
通常比
@Entity
型号高。实体被映射(例如
@OneToMany
)到其他实体,而
DTO
可能仅包含映射对象的id字段。
DTO
模式已经过时,并导致不必要的代码重复。许多人认为,过多的分离倾向于难以维护代码。因此,您应该始终咨询不同的来源,然后应用最适合您的方法。
关于java - 关于Spring Data JPA Rest(JpaRepository)的安全性问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50505076/
我的 spring 应用程序中有一个功能有问题。我在同一个数据库中有 2 个表,都包含相同类型的数据(ID、标题、描述和日期)。我可以从一张表中获取数据,但不知道如何插入到第二张表中。 在我的@Ser
我有如下 3 个实体类(示例取自 https://hellokoding.com/jpa-many-to-many-extra-columns-relationship-mapping-example
是否可以在没有实体的情况下使用 JpaRepository?在这种情况下,将其替换为 DTO。 如下示例 @Repository public interface BffRepository ext
我有使用 JPA 工具生成的用户实体和角色实体。 User 和 Role 是多对多的关系。我使用以下代码插入管理员,但是,没有数据插入到 user_role 表中。我还注意到角色类有 @JoinTab
我使用 JpaRepository 来保存数据,但 hibernate.show_sql 显示“选择”并且不会保存数据。以下是我的服务: @Autowired private UserReposito
我正在使用 Spring Boot、Hibernate 和 JPA 存储库来搜索数据。 我想通过登录用户的上下文来过滤搜索结果。例如。查找返回登录用户拥有的所有实体的方法?我有许多用于过滤的 JPA
如何从父进程中检索子进程? 假设我有父类和子类。我想从父方检索子项列表。 这是我的家长类。 +import ... @Entity public class Parent { @Id
我正在努力尝试创建一种方法来从数据库获取对象并加载依赖项。 在正常情况下,我永远不想加载它,所以我的两个对象看起来像这样: public class Training implements Seria
由于某些奇怪的原因,Jpa 生成的查询没有按预期生成。我使用 jpa 在我的存储库中编写了以下查询: 我的对象 @Id @GeneratedValue(strategy = Generatio
我正在尝试 Autowiring 服务中的存储库,但我不断收到以下错误 org.springframework.beans.factory.UnsatisfiedDependencyException
我是使用 JPA 的新手,我正在在线阅读教程,所有这些教程都从 JPARespository 扩展而来,如下所示 从此页面 https://www.callicoder.com/spring-boot
我正在制作一个应用程序,该应用程序保存用户配置文件和具有许多交易的钱包。 这是事务类: @Entity @Table(name = "transactions") public class Trans
我正在 IntelliJ 中使用 Spring Boot 我已经扩展了 JpaRepository 接口(interface),并创建了一个未在存储库变量中显示的查询到我的 Controller 中(
我只想返回特定的文件以进行服务。所以我在 JPARepository 界面中编写了以下代码: @Query(value="select r.id from Ride r") public List f
我正在使用 spring JpaRepository,并且希望使用 el 表达式提供具有通用派生 SQL 查询的通用接口(interface),如下所示: public interface BaseR
我正在尝试做一个非常简单的删除操作,但不知何故它不起作用,因为我将 DAO 更新为 JpaRepository。基本上是这样的: A a = aRepository.findOne(id); a.se
我像这样使用数据存储库: interface HerbadgeRepository extends JpaRepository { } 在甲骨文they say : To implement gene
我使用 Spring 与 Hibernate 和 JpaRepository 作为数据库存储库。 我有两个用于用户存储的类: @Entity public class User { @Id
我想要保护 JpaRepository,它将我的 OAuth 用户引用到授权角色 ROLE_ADMIN。现在我想知道我需要注释哪些方法。因此,当我想保护整个用户存储库时,登录不再起作用,因为它调用 f
我们正在使用 JpaRepository 连接 mysql。我们的存储库如下所示: public interface IRawEntityRepository extends JpaRepositor
我是一名优秀的程序员,十分优秀!