Hibernate/javax.persistence Events

[bense]

Hallo zusammen

Für eine Applikation setzen wir Hibernate, bzw. den javax.persistence-EntityManager ein. Um nun auf einfache Art und Weise einen Security-Layer einzuführen habe ich mir gedacht, ich könnte ja die Events nutzen und jeweils beim Laden/Speichern einer Entität einen Security-Check machen.

Bei Nutzung einer Hibernate-Session scheint es ja diese Möglichkeiten zu geben: 12.2.Event system, da kann ich z.B. einen LoadEventListener registrieren. Soweit ich sehen kann würde der das machen was ich möchte?

Bei der Nutzung des EntityManagers (wir nutzen momentan den) jedoch scheint es diese Möglichkeit nicht im gleichen Ausmass zu geben. Ich habe zwar so etwas ähnliches gefunden: PostLoad (Java EE 5), jedoch fehlt da z.B. der für mich wichtige PreLoad-Event. Ausserdem scheint das irgendwie an eine Methode und nicht an die Entität selbst gekoppelt zu sein. Bin nicht wirklich schlau geworden.

Kann mir jemand sagen, ob:
1. Mein Ansatz grundsätzlich so funktioniert?
2. Es bei javax.persistence auch solche Events gibt oder ich auf die Session von Hibernate umsteigen muss?

Vielen Dank für eure Antworten & Gruss
Ben

 

[maki]

Halte die Idee die Security an den PersistenzManager zu koppeln für nicht so gut,. normalerweise prüft man auf viel höherer Ebene.
Frameworks gibt es genug dazu, mit Spring zB. Acegi und JAAS für Standard JEE.

 

[byte]

Kann mich Maki nur anschließen. Ich würde das nicht händisch mit Hibernate-Boardmitteln implementieren, sondern Spring Security dafür einsetzen.

Da funktioniert das so: Es gibt einen AccessDecisionManager, der sowohl vor als auch nach dem Service-Aufruf in Aktion tritt. Du kannst z.B. vor dem Service-Aufruf per RoleVoter prüfen, ob der User die erforderlicher Rolle hat. Und Du kannst nach dem Service-Aufruf per AfterInvocationProvider z.B. die Ergebnismenge bzgl. der Rechte des Users einschränken oder den Zugriff nachträglich ganz verbieten.

 

[bense]

Ich muss vielleicht vorausschicken, dass ich Spring eigentlich nicht kenne...

Zum Thema: Es handelt sich um eine GWT-Applikation. Ich hatte schon mit Hibernate im Zusammenhang mit GWT meine Mühe. Ob es jetzt eine gute Idee ist, da auch noch so ein Framework ins Spiel zu bringen?

Das grosse Problem ist eigentlich, dass ich immer darauf schauen muss, dass keine Objekte zum Client verschoben werden, welche der aktuelle Benutzer nicht sehen darf. Also am einfachen Beispiel: Wenn ich ein Tisch-Objekt habe mit Stühlen, der Benutzer darf zwar auf den Tisch zugreifen, aber nicht auf die Stühle. Der Benutzer lädt den Tisch, mit Eager-Loading werden die Stühle mitgeladen. Ich checke die Berechtigung auf den Tisch-->OK, der Tisch wird zum Client gesendet und schon hat der Benützer auch die Stühle.

Darum bin ich auf die Idee mit dem Security-Check auf Entitäts-Ebene gekommen. So würden ja dann die Stühle nur geladen wenn der Benutzer auch darauf zugreifen darf. Wenn ihr jetzt aber meint dass die Idee totaler Bull**** ist, dann muss ich sie wohl begraben und mich tatsächlich mit Spring auseinandersetzen.

Gruss Ben

 

[KSG9|sebastian]

Du registriers die Listener per Konfiguration. Glaub per "org.hibernate.ejb.event...".
Auch wenn du JPA verwendest funktioniert das ganze, natürlich nur unter der Bedingung dass Hibernate als PersistenceProvider fungiert.
Die JPA-Events kommen glaub erst mit JPA 2.0 und können auch nicht annähernd dass was das Hibernate Eventsystem kann.

 

[bense]

Ok, ich kann die Hibernate-Events also auch brauchen, wenn ich javax.persistence benutze. Eine Frage hätte ich da noch. Ich habe es so probiert:

[HIGHLIGHT="Java"]Configuration cfg = new Configuration();
cfg.setListener("load", new MyLoadListener());
emf = Persistence.createEntityManagerFactory(connection);
em = emf.createEntityManager(); [/HIGHLIGHT]

Scheint aber nicht zu funktionieren, sprich mein Load-Listener wird nicht aufgerufen. Geht es so irgendwie auch? Oder falls ich es im persistence.xml machen müsste, wo müsste ich das denn einfügen?

persistence.xml:
[HIGHLIGHT="xml"]<?xml version="1.0" encoding="UTF-8"?>
<persistence version="1.0" xmlns="http://java.sun.com/xml/ns/persistence" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/persistence http://java.sun.com/xml/ns/persistence/persistence_1_0.xsd">
<persistence-unit name="un" transaction-type="RESOURCE_LOCAL">
<provider>org.hibernate.ejb.HibernatePersistence</provider>
<properties>
<property name="hibernate.connection.autocommit" value="false"/>
<property name="hibernate.connection.username" value="user"/>
<property name="hibernate.connection.driver_class" value="com.mysql.jdbc.Driver"/>
<property name="hibernate.connection.password" value="secret"/>
<property name="hibernate.connection.url" value="jdbc:mysql://server/db"/>
<property name="hibernate.cache.provider_class" value="org.hibernate.cache.NoCacheProvider"/>
<property name="hibernate.cache.use_second_level_cache" value="false"/>
<property name="hibernate.cache.use_query_cache" value="false"/>
</properties>
</persistence-unit>
</persistence>[/HIGHLIGHT]

Als hibernate.cfg.xml habe ich es auch schon versucht:
[HIGHLIGHT="xml"]<?xml version="1.0" encoding="UTF-8"?>
<hibernate-configuration>
<session-factory>
<event type="load">
<listener class="blub.MyLoadListener"/>
</event>
</session-factory>
</hibernate-configuration>[/HIGHLIGHT]

Mein Listener macht eigentlich nur ein Ausgabe auf System.out, aber bis jetzt hat das nicht funktioniert.

 

[KSG9|sebastian]

<property name="hibernate.ejb.event.pre-save" value="mein.Listener"/>

Andere Möglichkeiten sind z.B. pre/post-delete, pre/post-flush, pre/post-update, pre/post-save u.s.w.

Gruß

 

[bense]

So scheint es zu funktionieren. Super, danke für die Hilfe!

 

[bense]

Die ganze Sache scheint gut zu funktionieren. Es ist aber doch noch ein Problem aufgetaucht. Ich habe jetzt einen load-Listener implementiert. Ich mache dann vorerst eine Ausgabe des Klassennamens, um zu überprüfen ob das alles so funktioniert wie ich es gerne möchte. Ich lese also mit

[HIGHLIGHT="Java"]List myList = em.createQuery("from MyClass").getResultList();[/HIGHLIGHT]

die MyClass-Objekte aus. Für alle in MyClass referenzierten anderen Objekte wird dann auch das load-Event ausgelöst. Für MyClass selbst hingegen nicht. Also habe ich auch noch das post-load-Event abgefangen. Das wird auch für MyClass ausgelöst.

Ich frage mich nun, wieso für die MyClass-Objekte, also die ursprünglich angeforderten Objekte kein load-Event ausgelöst wird? Es wäre natürlich schon, wenn das Event für alle Objekte ausgelöst würde, da sonst meine Security seeehr löchrig ist. Das post-load-Event nützt mir auch nicht so viel, da das Objekt dann ja schon geladen ist.

 

[KSG9|sebastian]

es wird für alle Objekte, sprich Root-Objekt + alle referenzierten ein Event ausgelöst. Hab dasselbe hier laufen, allerdings mit save-Listener...evtl. liegts an der Art des Mappings oder so..