1

假设我有一些接口扩展CRUDRepositor. 里面有类似的方法findByField。其中一些方法应该只返回属于用户有权访问的一组实体的实体(这group是数据库中的一个列,因此它是为大多数实体定义的字段)。我想通过允许在存储库方法上使用注释(如@Protected)来实现这一点,然后在调用这些方法而不是在后台调用findByField方法时。findByFieldAndGroup通过使用 AOP(拦截使用我的 @Protected 标记注释的方法),可以在方法有效执行之前分配组。

public interface MyRepository extends CRUDRepository<MyEntity,long> {

    @Protected
    Optional<MyEntity> findById(Long id); // Should become findByIdAndGroup(Long id, String group) behind the scenes

    @Protected
    Collection<MyEntity> findAll();

}

有没有办法做到这一点?在最坏的情况下,我要么手动添加所有方法,要么完全切换到通过示例方法查询(您可以更轻松地动态添加组)或使用 ASM 生成带有 Java 代理的方法(操作字节码)......但是这些是不太实用的方法,需要大量的重构。

编辑:发现这些相关问题Spring data jpa - 在执行之前修改查询 Spring Data JPA 和 spring-security:在数据库级别过滤(尤其是用于分页) 其他相关参考包括GitHub 上的这张票(没有进展,只有一种解决方案QueryDSL 排除了使用基于方法名称的查询)和这个线程

4

1 回答 1

1

你可以使用过滤器,一个特定的 Hibernate 特性,来解决这个问题。

思路如下。

首先,您需要使用要应用的不同过滤器来注释您的实体,在您的情况下,例如:

@Entity
//...
@Filters({
  @Filter(name="filterByGroup", condition="group_id = :group_id")
})
public class MyEntity implements Serializable { 
  // ...
}

然后,您需要访问底层EntityManager,因为您需要与关联的 Hibernate 进行交互Session。你有几种方法可以做到这一点。例如,您可以为任务定义自定义事务管理器,例如:

public class FilterAwareJpaTransactionManager extends JpaTransactionManager {

  @Override
  protected EntityManager createEntityManagerForTransaction() {
    final EntityManager entityManager = super.createEntityManagerForTransaction();
    // Get access to the underlying Session object
    final Session session = entityManager.unwrap(Session.class);

    // Enable filter
    try{
      this.enableFilterByGroup(session);
    }catch (Throwable t){
      // Handle exception as you consider appropriate
      t.printStackTrace();
    }

    return entityManager;
  }

  private void enableFilterByGroup(final Session session){
    final String group = this.getGroup();

    if (group == null) {
      // Consider logging the problem
      return;
    }

    session
      .enableFilter("filterByGroup")
      .setParameter("group_id", group)
    ;
  }

  private String getGroup() {
    // You need access to the user information. For instance, in the case of Spring Security you can try:
    final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

    if (authentication == null) {
      return null;
    }

    // Your user type
    MyUser user = (MyUser)authentication.getPrincipal();
    String group = user.getGroup();
    return group;
  }
}

然后,TransationManager在你的数据库配置中注册这个而不是默认的JpaTransactionManager

@Bean
public PlatformTransactionManager transactionManager() {
  JpaTransactionManager transactionManager = new FilterAwareJpaTransactionManager();
  transactionManager.setEntityManagerFactory(entityManagerFactory());
  return transactionManager;
}

您还可以通过创建自定义或通过注入您的 bean来访问EntityManager和关联,但我认为上述方法是更简单的方法,尽管它具有总是被应用的缺点。SessionJpaRepository@PersistenceContext

于 2021-02-01T17:56:00.603 回答