我当前正在使用的系统需要一些基于角色的安全性,在Java EE堆栈中可以很好地满足这一需求。该系统旨在成为业务领域专家在其之上编写代码的框架。
但是,也需要数据security。即,最终用户可以看到哪些信息。
security
这实际上意味着减少对数据库中行(甚至列)的可见性。
我们使用Hibernate来保持持久性。但是,我们使用自己的注释,以免将持久性选择暴露给业务领域专家。
对于基于行的安全性,这意味着我们可以@Secured在实体级别添加注释,这将导致在基础表中添加额外的列以约束我们的选择?
@Secured
对于基于列的安全性,我们可能必须@Secured协助查询生成,或者可能使用方面来过滤返回的信息?
我很好奇这可能也会影响hibernate的缓存机制吗?
我敢肯定,很多其他人也会遇到同样的问题,我想知道您是如何解决这个问题的?
非常感激…
Hibernate具有可能适合您的过滤器机制。过滤器将重写hibernate生成的查询,以包括一个附加子句来限制返回的行。我不知道在hibernate中要遮罩/隐藏列的任何内容。
您的数据库可能也支持此功能。例如,Oracle具有虚拟专用数据库(VPD),它将在数据库级别重写您的查询。该解决方案的另一个好处是,违反数据库的任何外部程序(例如,报告工具)都将强制执行安全限制。VPD还支持使用NULL屏蔽受限制的列。
不幸的是,上述解决方案不足以满足我通常从事的项目类型的安全要求。在以上解决方案中,通常存在某种上下文无法轻松表达的情况。例如,用户可以查看自己创建的数据或已标记为公开的数据,或者属于他们管理的项目的数据。
通常,我们创建查询/查找器/ DAO对象,在其中传递增强安全性所需的值,然后相应地创建查询。
我希望这有帮助
