grails - 为什么用户使用 Spring Security 和 Grails 进行更新而不调用 save()？-6ren

grails - 为什么用户使用 Spring Security 和 Grails 进行更新而不调用 save()？

转载作者：行者123 更新时间：2023-12-02 09:29:24

25

4

概述:

User、UserRole 和 Role 几乎是标准模型Grails 中的 SpringSecurity 插件
我(在 Controller 中)确保的一件事是每个用户只有 1 个角色
在我的 Bootstrap 中创建了 3 个角色:管理员、经理和用户
- 管理员可以执行所有操作
- 管理员可以更新其他管理员和用户的信息
- 用户只能更新自己(但不能更新角色)

在我的 Controller 中，我使用注释来通常控制大部分安全性，但对于更新和保存操作，我添加了用于更高级检查的逻辑:

@Transactional
def update(User userInstance) {
    User currentUser = User.get(springSecurityService.currentUser?.id)
    Role currentRole = currentUser.getAuthorities().getAt(0)    // There is only 1 role per user, so give the first

    Role roleInstance = Role.get(params['role.id'])

    // SECURITY LOGIC -> Move to service
    if (currentRole.authority.equals("ROLE_USER")) {

        if (userInstance != currentUser || !roleInstance.authority.equals("ROLE_USER")) {
            notAllowed(userInstance)
            return
        }
    } else if (currentRole.authority.equals('ROLE_MANAGER')) {
        ...
    }
    ...
    // REST OF CODE - User is saved here
}

现在我遇到了一个奇怪的问题。如果我以 ROLE_USER 身份登录并更新 ROLE_ADMIN，我会收到 notAllowed 错误消息，并且该操作会立即返回，因此它不会继续到实际保存用户的代码的其余部分。

如果我查看管理员，它实际上已经更新(持续)。为什么会出现这种情况，因为它从未调用过 save() ？

谢谢!

最佳答案

这与 Spring Security 无关 - 这只是在使用插件使用的域类时发生的巧合。

默认情况下，Grails 使用“在 View 中打开 session ”模式，这在使用 Hibernate 时很常见。在每个请求开始时，都会创建一个 Hibernate Session 并将其存储在 ThreadLocal 中，并且持久性代码会使用它(如果可用)，并且在请求结束时刷新并关闭 session 。

这在处理延迟加载的实例和集合时特别有用。如果没有可用的现有 Hibernate session ，持久性代码会创建一个 session 并使用它从数据库中检索实例，但由于它创建了 session ，因此会在查询完成后将其关闭。这会使实例与任何 session 断开连接，并且没有自动重新附加逻辑，因此如果您在对象断开连接后尝试访问未初始化的延迟加载实例或集合，则会出现异常。但是，如果已经有一个打开的 session ，则持久性代码会使用它但不会关闭它，因此会附加加载的实例并且延迟加载将起作用。

您所看到的是 Hibernate 检测到持久实例已被修改，默认情况下，当 session 关闭时，它将检测到更改并帮助您将它们刷新到数据库。无论是否调用 save() 都会发生这种情况，因此实际上，您通常需要调用 save() 的唯一时间是在插入新实例时。

您可以在 View 支持中禁用打开 session ，但这样做会损失很多，而且一般来说这不是一个好主意。您还可以自定义它的工作方式、刷新发生时间等。但一般来说，您应该断开不希望自动刷新的附加实例。有一个 GORM 方法可以做到这一点 - discard() - 如果您在修改后的实例上调用它，当刷新发生时 Hibernate 将不会意识到它并且不会保存任何内容。

不相关 - 此行

User currentUser = User.get(springSecurityService.currentUser?.id)

应该是

User currentUser = springSecurityService.currentUser

因为 getCurrentUser() 方法使用安全身份验证中的缓存 ID 从数据库检索 User 实例。您正在使用该 User 实例来获取其 id，然后将其丢弃，并使用该 id 再次加载相同的 User。

关于grails - 为什么用户使用 Spring Security 和 Grails 进行更新而不调用 save()？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/34731497/

25

4

0

文章推荐： sql - SQL 'BETWEEN' 语法不正确

文章推荐： java - 处理Json不存在的键Spring Boot

文章推荐： java - Graphics/JPanel 尺寸不是以像素为单位测量的吗？

文章推荐： css - 使用纯 CSS 规则在小屏幕上制作全宽 td 表格

Javascript AJAX 调用 Jquery 调用
为了让我的代码几乎完全用 Jquery 编写，我想用 Jquery 重写 AJAX 调用。这是从网页到 Tomcat servlet 的调用。我目前情况的类似代码: var http = new
Java 调用 C 调用 Java
我想使用 JNI 从 Java 调用 C 函数。在 C 函数中，我想创建一个 JVM 并调用一些 Java 对象。当我尝试创建 JVM 时，JNI_CreateJavaVM 返回 -1。所以，我想知
javascript - 调用 javascript 函数以从无法按预期工作的表单进行 AJAX 调用
环顾四周，我发现从 HTML 调用 Javascript 函数的最佳方法是将函数本身放在 HTML 中，而不是外部 Javascript 文件。所以我一直在网上四处寻找，找到了一些简短的教程，我可以根
ajax - 为什么我不能从 Angular 调用 ajax 调用
我有这个组件: import {Component} from 'angular2/core'; import {UserServices} from '../services/UserService
openssl - 如果客户端使用 BIO_* 调用，是否需要服务器上的 BIO_* 调用？
我正在尝试用 C 实现一个简单的 OpenSSL 客户端/服务器模型，并且对 BIO_* 调用的使用感到好奇，与原始 SSL_* 调用相比，它允许一些不错的功能。我对此比较陌生，所以我可能会完全错误
javascript - 根据先前的 Ajax 调用，根据用户确认执行 Ajax 调用
我正在处理有关异步调用的难题: 一个 JQuery 函数在用户点击时执行，然后调用一个 php 文件来检查用户输入是否与数据库中已有的信息重叠。如果是这样，则应提示用户确认是否要继续或取消，如果他单击
java - 验证私有(private)构造函数未使用 JMockit 调用/调用
我有以下类(class)。 public Task { public static Task getInstance(String taskName) { return new
c++ - 调用 QSound 调用，它们之间有延迟 Qt C++
嘿，我正在构建一个小游戏，我正在通过制作一个数字 vector 来创建关卡，该数字 vector 通过枚举与 1-4 种颜色相关联。问题是循环(在 Simon::loadChallenge 中)我将颜
Java 异步 api 调用 - 即发即忘 http 调用
我有一个java spring boot api(数据接收器)，客户端调用它来保存一些数据。一旦我完成了数据的持久化，我想进行另一个 api 调用(应该处理持久化的数据 - 数据聚合器)，它应该自行异
c# - 如何从 Paypal 调用 DoDirectPayment API 调用
首先，这涉及桌面应用程序而不是 ASP .Net 应用程序。我已经为我的项目添加了一个 Web 引用，并构建了各种数据对象，例如 PayerInfo、Address 和 CreditCard。但问题
f# - 如何从 FAKE 调用/调用 F# 编译器 fsc？
我如何告诉 FAKE 编译 .fs文件使用 fsc ? 解释如何传递参数的奖励积分，如 -a和 -target:dll . 编辑:我应该澄清一下，我正在尝试在没有 MSBuild/xbuild/.sl
javascript - render 没有被一个 api 调用，而是被另一个 api 调用
我使用下划线模板配置了一个简单的主干模型和 View 。两个单独的 API 使用完全相同的配置。 API 1 按预期工作。要重现该问题，请注释掉 API 1 的 URL，并取消注释 API 2 的
php - OOP 或 MySQL 调用。生成对象还是直接从 MySQL 调用？
我不确定什么是更好的做法或更现实的做法。我希望从头开始创建目录系统，但不确定最佳方法是什么。我想我在需要显示信息时使用对象，例如 info.php?id=100。有这样的代码用于显示 Game.cl
python - child 调用 parent ， parent 调用 child ......或不
from datetime import timedelta class A: def __abs__(self): return -self class B1(A):
java - 调用/调用 void 方法(Java 作业 - 生命游戏示例)
我在操作此生命游戏示例代码中的数组时遇到问题。情况: “生命游戏”是约翰·康威发明的一种细胞自动化技术。它由一个细胞网格组成，这些细胞可以根据数学规则生存/死亡/繁殖。该网格中的活细胞和死细胞通过
调用 read() 返回 0 但缓冲区已更改，调用 fread() 读取相同偏移量时不会发生
如果我像这样调用 read() 来读取文件: unsigned char buf[512]; memset(buf, 0, sizeof(unsigned char) * 512); int fd;
调用 "start"启动程序，调用 "stop"关闭 C 中的当前实例
我用 C 编写了一个简单的服务器，并希望调用它的功能与调用其他 C 守护程序的功能相同(例如使用 ./ftpd start 调用它并使用 ./ftpd stop 关闭该实例)。显然我遇到的问题是我不知
powershell - 可以从 cmd 调用 headless，但不能从 powershell 调用 headless
在 dos 中，当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
powershell - 可以从 cmd 调用 headless，但不能从 powershell 调用 headless
在 dos 中，当我粘贴此命令时它会起作用: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://google.
python - 调用 python3 显示错误，调用 python 启动 python2.7
我希望能够从 cmd 在我的 Windows 10 计算机上调用 python3。我已重新安装 Python3.7 以确保选择“添加到路径”选项，但仍无法调用 python3 并使 CMD 启动 P

首页

博学

6Ren·AI

商城

grails - 为什么用户使用 Spring Security 和 Grails 进行更新而不调用 save()？