0

我正在开发一个使用 Oracle 内置身份验证机制来管理用户帐户和密码的应用程序。该应用程序还使用行级安全性。基本上,通过应用程序注册的每个用户都会获得一个 Oracle 用户名和密码,而不是“USERS”表中的典型条目。用户还会收到某些表格上的标签。这种类型的功能要求在许多情况下将 DML 和 DDL 语句的执行结合起来,但这会带来一个问题,因为 DDL 语句执行隐式提交。如果在 DDL 语句执行后发生错误,事务管理不会回滚所有内容。例如,当新用户向系统注册时,可能会发生以下情况:

  1. 开始交易
  2. 将人员详细信息插入表中。(即名字、姓氏等)-DML
  3. 创建一个 oracle 帐户(创建由密码标识的用户 testuser;) -DDL 隐式提交。交易结束。
  4. 新交易开始。
  5. 执行更多 DML 语句(插入、更新等)。
  6. 发生错误,事务只回滚到第 4 步。

我了解上述逻辑按设计工作,但我发现很难对此类功能进行单元测试并在数据访问层对其进行管理。我让数据库关闭或在单元测试期间发生错误,导致测试模式被本应回滚的测试数据污染。发生这种情况时擦除测试模式很容易,但我担心生产环境中的数据库故障。我正在寻找管理这个的策略。

这是一个 Java/Spring 应用程序。Spring 提供事务管理。

4

3 回答 3

3

首先我不得不说:这样做是个坏主意。有两个原因:

  1. 连接基于用户。这意味着您在很大程度上失去了连接池的好处。它也不能很好地扩展。如果您同时有 10,000 个用户,您将不断打开和关闭硬连接(而不是软连接池);和
  2. 正如您所发现的,创建和删除用户是 DDL 而不是 DML,因此您失去了“事务性”。

不知道你为什么选择这样做,但我强烈建议你在应用程序而不是数据库层实现用户。

至于如何解决你的问题,基本上你不能。就像您在序列中间创建表或索引一样。

于 2009-05-21T13:33:52.760 回答
1

您应该将 Oracle 代理身份验证与行级安全性结合使用。

阅读:http ://www.oracle.com/technology/pub/articles/dikmans-toplink-security.html

于 2009-05-21T14:46:03.427 回答
0

我不同意之前的一些评论,并说使用内置的 Oracle 帐户安全性有很多优点。如果您必须使用某种带有附加信息的用户影子表来扩充它,那么如何将 Oracle 帐户创建包装在一个单独的包中,该包被声明为 PRAGMA AUTONOMOUS_TRANSACTION 并向正在执行插入操作的包返回成功/失败状态影子表?我相信这会将 Oracle 帐户的创建与事务隔离开来。

于 2009-05-21T14:41:42.530 回答