- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我需要实现一个可供不同用户使用的网络应用程序。每个用户对不同的表有不同的权限,例如
Student
中的字段“name”和“address” 学生
我将在 UI 级别设置一些内容来限制某些访问,例如为无权修改条目的用户隐藏“编辑”按钮。但是,我认为我应该在较低级别(也许在数据库级别?)有一些东西,以确保数据安全。
我正在为我的应用程序使用 Hibernate、JBoss、DB2 和 Struts。我想我应该使用某种 JBoss LoginModule,它使用用户/密码/角色对数据库进行用户身份验证(但我可能是错的(?))。我做了一些研究并提出了以下选项,但似乎都不适合我的情况。我认为这是多用户网络应用程序中非常常见的数据访问问题。有人可以指出我正确的方向吗? 提前谢谢您!
将 hibernate.cfg.xml
中的“grant”标签与 JACC 事件监听器结合使用。这可以设置所有hibernate实体的“插入”“更新”“读取”权限。但是,如果我需要更精细的控制怎么办?我需要对某些字段而不是整个对象设置权限。 http://www.hibernate.org/hib_docs/v3/reference/en-US/html/objectstate-decl-security.html
限制每个ejb的getter/setter方法的权限。如果我理解正确的话,这需要为每个用户配置文件手动配置每个 bean,这对我来说似乎不现实。 EJB Method Permissions
对 DAO 进行编码以检查用户权限。滚动我自己的实用程序函数,每次调用特定的 DAO 方法时都会检查一个巨大的权限表,以确定登录用户是否可以执行该操作。
在 Hibernate 中使用“拦截器”和“事件”。为每个类定义特定的“onLoad”、“onSaveorUpdate”等事件和拦截器。在这种情况下,我可以指定各个字段的权限级别吗? http://www.hibernate.org/hib_docs/v3/reference/en-US/html/objectstate-events.html
我可能对着错误的树吠叫了。以上这些看起来都是劳动密集型的,而且不是很智能化。上述选项都没有为我提供在运行时更改用户权限的编程方法,当管理员级别用户想要在此应用程序中为其他用户提供更多控制权时,这将很有用。
在这里进行数据访问控制的好方法是什么?
最佳答案
向您的实体添加安全 key ,创建权限表,并将用户与权限与实体类型链接起来,并将安全 key 与角色链接起来。这样你就可以这样说:Admin_role可以访问Student(实体类型)并执行读取(权限操作)和写入(操作),而Student_role可以访问他/她自己的Student_key和Read_permission。您可以通过将其重构为实体并向其添加安全 key 来修复该地址。
您的第四个可能有一个封闭世界的假设,并表示除非您可以针对用户的当前角色,否则将属性名称与字典(实体+属性)中的标志链接到标志,封闭世界假设默认情况下不允许读取。那么你当然不会获得任何写入权限等。
您可以在数据库中定义 View 并使用数据库身份验证系统为其分配权限。如果您能够自己编写代码,这可能是最干净的方法,即根据我们的角色选择要调用的 View 的方法。 (我以前的 RDBMS 老师会喜欢我这么说的;))这也有点偏离 Hibernate,并将你的东西更多地耦合到数据库。我想,这取决于您的代码需要的可移动性/可移植性。
在通用 dao (IRepository) 周围使用一个方面,它根据您的权限重写查询;当然,这意味着您在代码中拥有基于权限的安全性。
隐藏在 GUI 中的编辑按钮实际上只有在您首先将权限移植到代码时才能完成,就像我的第 1 点一样。我建议您看看 Ayendes blog对于这个的开源实现,他是一位非常熟练的编码员。
关于hibernate - 如何在 Hibernate 中限制数据库级别的用户访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/559480/
什么是 hibernate 和n- hibernate ?我可以在 Visual Studio 2008 中使用它进行 C# Web 应用程序开发吗?请给我建议...我是 asp.net Web 应用
我有一个不系统地发生的异常(exception)。 我试图通过在每次迭代中刷新和清理 session 来解决此问题,但没有成功。 [quartzScheduler_Worker-7] ERROR jd
使用 Hibernate 在数据库中存储 IP 地址的最佳类型是什么? 我虽然是 Byte[] 或 String,但有没有更好的方法,或者你用什么? @Column(name = "range_fr
我正在尝试制定一个公式来选择用户个人资料的用户友好名称。它选择名字 + ' ' + 姓氏 如果其中至少有一个不为空且不为空(包含非空白字符),否则选择 短名称 (条件相同),最后,如果 短名称 为空或
在hibernate中,是否可以将鉴别器作为一个实体?例如,如果我将 Department 作为基类,将 AdminDepartment 和 ProcessingDepartment 作为子类。 De
我只想从表中获取一些列值。因此,我已经使用投影来实现这一目标。该代码有效,但我认为它无效。 我的问题是当我使用ProjectionsList并将标准条件列表设置为ArrayList时-Bulletin
你好: 我对 hibernate 缓存缓存的内容感到困惑。 从文档中,我知道 hibernate 中有缓存类型。 一级 :交易级别。 似乎要被 session 持久化的实体被缓存在这里。 二级缓存 :
我遇到了一个情况: save或update hibernate 的目标表中的某些数据 在目标表上有一个触发器,该触发器将在目标表的insert或update操作之前执行 由 hibernate 将此记
我有一个名为 Master_Info_tbl 的表。它是一个查询表: 这是该表的代码: @Entity @Table(name="MASTER_INFO_T") public class Code
我想知道如何在 Hibernate 查询语言中使用日期文字。我在我的 JPA 项目中做了如下操作(作为 Eclipselink 提供者)并且它工作正常。 SELECT m FROM Me m WHER
@Entity public class Troop { @OneToMany(mappedBy="troop") public Set getSoldiers() { ...
我正在尝试使用 hibernate 查询删除表 'user_role' 中的所有行。但每次我都会出错。有人可以帮我吗。 DaoImpl @Override public void deleteAll(
不是将数据库操作分散在四个 (osgi) 包中,而是在那里做略有不同的事情。我想创建一个负责所有持久性问题的(简单的)OSGi 包。我觉得这并不像听起来那么简单,因为“每个包都有独特的类加载器”。 因
这就是我使用生成器的方式: private Integer id; 我看到的行为是: 创建第一个对象 hibernate 分配 id = 1 删除该对象 关闭服务
对象级别的实体和值类型有什么区别。我知道实体将有一个 id 但值不会,但为什么我们需要不同的方法来映射实体与值类型? 这样做是为了让hibernate可以对值类型应用任何优化吗? 最佳答案 一个实体已
我正在使用 HibernateTemplate.findByCriteria 方法进行一些查询。现在我想在标准上创建一些 SQL 限制,比如 criteria.add(Restrictions.sql
所以我有以下代码: Query query = session.createQuery("from Weather"); List list = query.list();
如何使用Hibernate映射具有多个实体的 View ? 问候, 混沌 最佳答案 请参见Hibernate文档中第5.1.3节“类”,紧接在“Id”节之前: There is no differen
据我所知,Hibernate 有两种类型的实现 JPA的实现(2)(@Entity,@Table注解) 扩展到旧的(传统的) hibernate (没有 JPA),使用 HSQL 查询,没有注释 如果
我需要一个将条目存储为键值对的集合(因此我可以通过键查找值),但我需要一个允许多个值使用 hibernate 共享同一个键的集合 最佳答案 一个键具有多个值的映射称为多映射 - 在 Apache 公共
我是一名优秀的程序员,十分优秀!