使用java和hibernate进行数据“安全性”

我目前正在处理的系统需要一些基于角色的安全性,这在Java EE堆栈中得到了很好的照顾。 该系统旨在成为业务领域专家在其上编写代码的框架。

但是,还需要数据security 。 也就是说,最终用户可以看到哪些信息。

这实际上意味着降低数据库中行(甚至列)的可见性。

我们正在使用Hibernate来实现持久性。 但是,我们使用自己的注释,以便不向业务领域专家公开我们的持久性选择。

对于基于行的安全性,这意味着我们可以在实体级别添加注释,例如@Secured ,这会导致将额外的列添加到基础表以约束我们的选择?

对于基于列的安全性,我们或许可以让@Secured协助生成查询,或者使用方面来过滤返回的信息?

我很想知道这对hibernate的缓存机制有何影响?

我相信很多人会有同样的问题,我想知道你是怎么接近这个的?

非常感激…

Hibernate有一个可能适合你的过滤机制 。 filter将重写hibernate生成的查询,以包含一个附加子句来限制返回的行。 我不知道在hibernate中屏蔽/隐藏列的任何内容。

您的数据库也可能支持此function。 例如,Oracle拥有虚拟专用数据库 (VPD),它将在数据库级别重写您的查询。 此解决方案具有额外的好处,任何针对您的数据库的外部程序(例如报告工具)都将强制执行您的安全限制。 VPD还支持使用NULL屏蔽受限制的列。

遗憾的是,上述解决方案还不足以支持我通常使用的类型项目的安全性要求。 通常某种情况在上述解决方案中无法轻易表达。 例如,用户可以查看他们已创建的数据,或已被标记为公共的数据,或属于他们管理的项目。

我们通常创建查询/查找器/ DAO对象,我们传入执行安全性所需的值,然后相应地创建查询。

我希望这有帮助

使用Hibernatefilter时,您需要注意其他限制不会应用于load()get()方法生成的SQL语句。

Interesting Posts

如何拦截Hibernate生成的SQL?

Hibernate映射文件和注释之间的区别

JDK 9的Hibernate 5问题

如何设置Hibernate来读/写不同的数据源?

带有ManyToOne的JPA Composite键获取org.hibernate.PropertyAccessException:无法通过reflection设置器设置字段值

会话关闭后如何强制hibernate释放内存?

getCurrentSession在web中进行hibernate

JPA Map 映射

如何在hibernate中阻止SQL注入?

postInstantiate buildSessionFactory慢/内存庞大的数据库