现在项目使用的是springmvc+spring+mybatis+druid+postgresql 项目中的用户对应数据库中的用户,所以每次运行SQL都要用(set role user)命令切换用户,然后执行crud数据库的操作。
我的问题:因为连接池中有很多连接,所以第一步是获取数据库的连接,然后切换用户,然后对数据库进行业务SQL的操作。但是我不知道这个逻辑应该处理到项目的哪个部分,因为连接池的连接和SQL的执行都是由底层代码实现的。你有什么好的计划吗?能不能给我一个完整的demo,比如下面的操作:
第一步,从spring security(或shiro)获取用户名。
第二步,从连接池中获取当前使用数据库的连接。
第三步,执行SQL(set role user)切换角色。
第四步,执行crud操作。
第五步,重置数据库连接(重置角色)
这是在mybatis-spring的帮助下做你需要的简单方法。
除非您已经使用 mybatis-spring,否则第一步是更改项目的配置,以便获得mybatis-spring 提供的SqlSessionFactory使用。org.mybatis.spring.SqlSessionFactoryBean
下一步是设置/重置连接的用户角色的实现。在 mybatis 中,连接生命周期由实现org.apache.ibatis.transaction.Transaction接口的类控制。查询执行器使用此类的实例来获取连接。
简而言之,您需要创建自己的此类实现并配置 mybatis 以使用它。
您的实现可以基于SpringManagedTransactionmybatis-spring ,看起来像:
import org.springframework.security.core.Authentication;
class UserRoleAwareSpringManagedTransaction extends SpringManagedTransaction {
public UserRoleAwareSpringManagedTransaction(DataSource dataSource) {
super(dataSource);
}
@Override
public Connection getConnection() throws SQLException {
Connection connection = getCurrentConnection();
setUserRole(connection);
return connection;
}
private Connection getCurrentConnection() {
return super.getConnection();
}
@Override
public void close() throws SQLException {
resetUserRole(getCurrentConnection());
super.close();
}
private void setUserRole(Connection connection) {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
String username = authentication.getName();
Statement statement = connection.createStatement();
try {
// note that this direct usage of usernmae is a subject for SQL injection
// so you need to use the suggestion from
// https://stackoverflow.com/questions/2998597/switch-role-after-connecting-to-database
// about encoding of the username
statement.execute("set role '" + username + "'");
} finally {
statement.close();
}
}
private void resetUserRole(Connection connection) {
Statement statement = connection.createStatement();
try {
statement.execute("reset role");
} finally {
statement.close();
}
}
}
现在你需要配置 mybatis 来使用你的Transaction实现。为此,您需要实现TransactionFactory类似于mybatis-springorg.mybatis.spring.transaction.SpringManagedTransactionFactory提供的功能:
public class UserRoleAwareSpringManagedTransactionFactory implements TransactionFactory {
@Override
public Transaction newTransaction(DataSource dataSource, TransactionIsolationLevel level, boolean autoCommit) {
return new UserRoleAwareSpringManagedTransaction(dataSource);
}
@Override
public Transaction newTransaction(Connection conn) {
throw new UnsupportedOperationException("New Spring transactions require a DataSource");
}
@Override
public void setProperties(Properties props) {
}
}
然后在你的 spring 上下文中定义一个类型的 beanUserRoleAwareSpringManagedTransactionFactory并将其注入到你的 spring 上下文中transactionFactory的属性中SqlSessionFactoryBeen。
现在mybatis每次获取一个Connection实现Transaction都会设置当前spring security用户来设置角色。
最佳实践是数据库用户是应用程序。应在应用程序中控制应用程序用户对特定数据/资源的访问。应用程序不应依赖数据库来限制数据/资源访问。因此,应用程序用户在数据库中不应具有不同的角色。应用程序应该只使用一个数据库用户帐户。
Spring 是最佳实践的体现。因此,Spring 没有实现这个功能。如果你想要这样的功能,你需要破解。
参考这个,你最好的选择是:
@Autowired JdbcTemplate jdbcTemplate;
// ...
public runPerUserSql() {
jdbcTemplate.execute("set role user 'user_1';");
jdbcTemplate.execute("SELECT 1;");
}
我对此还是没有太大的信心。除非您正在为多个用户编写 pgAdmin webapp,否则您应该重新考虑您的方法和设计。