数据库操作审计框架启动过程解析

最新推荐文章于 2024-04-05 02:24:07 发布
最新推荐文章于 2024-04-05 02:24:07 发布
阅读量491 收藏
点赞数
文章标签: 数据库 spring java spring boot mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lambert_Wang/article/details/113627231
版权

​本篇文章用于介绍Spring Data Jpa数据库操作审计框架的启动过程。本文中使用的示例同如何对数据库操作进行审计?

背景

数据库审计框架内部原理解析一文中,我们曾介绍过Spring Data Jpa数据库操作审计的执行过程:

  • 用户在页面上提交创建评论的请求,请求到达服务器端。在服务器端处理后,最终调用SimpleJpaRepository,触发EntityManager(即SessionImpl)的persist()方法,完成数据的持久化。

  • SessionImpl内部保存了一个映射表。该映射表要求:如果保存的实体类是Comment类型的,在persist()方法执行前,则需要先执行AuditingEntityListenertouchForCreate()的方法。

  • 这个touchForCreate()方法,完成了将创建人、创建时间、修改人、修改时间四个字段补全的操作。

本文主要介绍:

  • AuditingEntityListener对象的加载过程

  • SessionImpl对象的创建过程

AuditingEntityListener

AuditingEntityListener是一个bean对象,使用Spring IoC容器进行管理。我们先研究下AuditingEntityListener对象是如何加载的。

Application类上,我们使用了@EnableJpaAuditing注解标注了这个配置类,看一下@EnableJpaAuditing这个注解的源代码:

@Inherited
@Documented
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Import(JpaAuditingRegistrar.class)
public @interface EnableJpaAuditing {
  ...
}

很明显,起作用的是@Import(JpaAuditingRegistrar.class)这句。

熟悉Spring框架的话就会知道:JpaAuditingRegistrar一定是个配置类。JpaAuditingRegstrar的继承链如下:

所以JpaAuditingRegistrar是一个ImportBeanDefinitionRegistrar类型的配置类。我们曾经说过,ImportBeanDefinitionRegistrar的核心逻辑是在registerBeanDefinitions()方法中,该方法向IoC容器中写入了相关bean的定义。

JpaAuditingRegistrar使用下面的方法,向IoC容器中写入AuditingEntityListener类型的bean对象定义:

 @Override
 protected void registerAuditListenerBeanDefinition(BeanDefinition auditingHandlerDefinition,
   BeanDefinitionRegistry registry) {

  if (!registry.containsBeanDefinition(JPA_MAPPING_CONTEXT_BEAN_NAME)) {
   registry.registerBeanDefinition(JPA_MAPPING_CONTEXT_BEAN_NAME, //
     new RootBeanDefinition(JpaMetamodelMappingContextFactoryBean.class));
  }

  BeanDefinitionBuilder builder = BeanDefinitionBuilder.rootBeanDefinition(AuditingEntityListener.class);
  builder.addPropertyValue("auditingHandler",
    ParsingUtils.getObjectFactoryBeanDefinition(getAuditingHandlerBeanName(), null));
  registerInfrastructureBeanWithId(builder.getRawBeanDefinition(), AuditingEntityListener.class.getName(), registry);
 }

需要注意的是builder.addPropertyValue("auditingHandler", ...)这句。这句完成了手动设置依赖关系的操作。要求AuditingEntityListener对象在实例化时,需要从IoC容器中查找名为auditingHandler的对象,并将其注入。

到这里,AuditingEntityListener在IoC容器中的实例化逻辑,以及将AuditingHandler注入到AuditingEntityListener中的逻辑就都有了。

AuditingHandler

调用的是AuditingBeanDefinitionRegistrarSupport中的这个方法:

 private AbstractBeanDefinition registerAuditHandlerBeanDefinition(BeanDefinitionRegistry registry,
   AuditingConfiguration configuration) {

  Assert.notNull(registry, "BeanDefinitionRegistry must not be null!");
  Assert.notNull(configuration, "AuditingConfiguration must not be null!");

  AbstractBeanDefinition ahbd = getAuditHandlerBeanDefinitionBuilder(configuration).getBeanDefinition();
  registry.registerBeanDefinition(getAuditingHandlerBeanName(), ahbd);
  return ahbd;
 }

这个方法向IoC容器中注入了一个AuditingHandler对象。该方法调用的方法中设置了bean定义中的相关属性:

 protected BeanDefinitionBuilder configureDefaultAuditHandlerAttributes(AuditingConfiguration configuration,
   BeanDefinitionBuilder builder) {

  if (StringUtils.hasText(configuration.getAuditorAwareRef())) {
   builder.addPropertyValue(AUDITOR_AWARE,
     createLazyInitTargetSourceBeanDefinition(configuration.getAuditorAwareRef()));
  } else {
   builder.setAutowireMode(AutowireCapableBeanFactory.AUTOWIRE_BY_TYPE);
  }

  builder.addPropertyValue(SET_DATES, configuration.isSetDates());
  builder.addPropertyValue(MODIFY_ON_CREATE, configuration.isModifyOnCreate());

  if (StringUtils.hasText(configuration.getDateTimeProviderRef())) {
   builder.addPropertyReference(DATE_TIME_PROVIDER, configuration.getDateTimeProviderRef());
  } else {
   builder.addPropertyValue(DATE_TIME_PROVIDER, CurrentDateTimeProvider.INSTANCE);
  }

  builder.setRole(AbstractBeanDefinition.ROLE_INFRASTRUCTURE);

  return builder;
 }

重点注意的是builder.setAutowireMode(AutowireCapableBeanFactory.AUTOWIRE_BY_TYPE)这句,表示使用byType类型进行依赖注入。

AuditingHandler中有个方法:

 public void setAuditorAware(AuditorAware<?> auditorAware) {
  Assert.notNull(auditorAware, "AuditorAware must not be null!");
  this.auditorAware = Optional.of(auditorAware);
 }

由于AuditingHandler使用byType类型进行依赖注入,若IoC容器中存在类型为AuditorAware的对象,则会被注入到AuditingHandler中。

我们在Application中,使用内部配置类的方式创建了一个类型是SpringSecurityAuditorAware的bean对象,它继承自AuditorAware<String>

所以,AuditingHandler中注入的AuditorAware对象就是它了。

    @Component
    static class SpringSecurityAuditorAware implements AuditorAware<String> {
        public Optional<String> getCurrentAuditor() {
            SecurityContext context = SecurityContextHolder.getContext();
            if (context == null) return Optional.of("");

            Authentication authentication = context.getAuthentication();
            if (authentication == null) return Optional.of("");

            if (!authentication.isAuthenticated()) return Optional.of("");

            return Optional.of(authentication.getName());
        }
    }

到这里,向IoC容器中注入AuditingHandler并将AuditorAware类型对象作为AuditingHandler的属性注入的逻辑就完成了。

总结一下:AuditingEntityListener对象内部注入了AuditingHandler对象,AuditingHandler内部又注入了AuditorAware对象。这个AuditorAware是我们自定义的类,里面包含了获取用户信息的代码逻辑。

LocalContainerEntityManagerFactoryBean

Spring Data Jpa底层使用的是Hibernate。关于SessionImpl的加载过程会稍微复杂些,我们要先介绍一些其他的概念才行。

在Spring Boot项目的spring.factories文件中的EnableAutoConfiguration列表中,包含了一个名为HibernateJpaAutoConfiguration的配置类:

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass({ LocalContainerEntityManagerFactoryBean.class, EntityManager.class, SessionImplementor.class })
@EnableConfigurationProperties(JpaProperties.class)
@AutoConfigureAfter({ DataSourceAutoConfiguration.class })
@Import(HibernateJpaConfiguration.class)
public class HibernateJpaAutoConfiguration {
}

它引入了另一个名为HibernateJpaConfiguration的配置类。

HibernateJpaConfiguration的父类JpaBaseConfiguration中定义了一个bean对象:

 @Bean
 @Primary
 @ConditionalOnMissingBean({ LocalContainerEntityManagerFactoryBean.class, EntityManagerFactory.class })
 public LocalContainerEntityManagerFactoryBean entityManagerFactory(EntityManagerFactoryBuilder factoryBuilder) {
  Map<String, Object> vendorProperties = getVendorProperties();
  customizeVendorProperties(vendorProperties);
  return factoryBuilder.dataSource(this.dataSource).packages(getPackagesToScan()).properties(vendorProperties)
    .mappingResources(getMappingResources()).jta(isJta()).build();
 }

LocalContainerEntityManagerFactoryBean就是在这个地方引入IoC容器中的。

LocalContainerEntityManagerFactoryBean的父类AbstractEntityManagerFactoryBean中有一个nativeEntityManagerFactoryFuture属性:

 private Future<EntityManagerFactory> nativeEntityManagerFactoryFuture;

它使用bean生命周期方法afterPropertiesSet()进行初始化:

 @Override
 public void afterPropertiesSet() throws PersistenceException {
  ...
  AsyncTaskExecutor bootstrapExecutor = getBootstrapExecutor();
  if (bootstrapExecutor != null) {
   this.nativeEntityManagerFactoryFuture = bootstrapExecutor.submit(this::buildNativeEntityManagerFactory);
  }
  else {
   this.nativeEntityManagerFactory = buildNativeEntityManagerFactory();
  }
    ...
 }

buildNativeEntityManagerFactory()方法代码如下:

 private EntityManagerFactory buildNativeEntityManagerFactory() {
  EntityManagerFactory emf;
  try {
   emf = createNativeEntityManagerFactory();
  }
  catch (PersistenceException ex) {
   ...
  }
  ...
 }

调用createNativeEntityManagerFactory()方法创建了EntityManagerFactory,这个EntityManagerFactory是一个SessionFactoryImpl类型的对象。后续所有SessionImpl的创建,都是使用这个工厂类完成的:

@Override
 protected EntityManagerFactory createNativeEntityManagerFactory() throws PersistenceException {
  ...
  EntityManagerFactory emf = provider.createContainerEntityManagerFactory(this.persistenceUnitInfo, getJpaPropertyMap());
  postProcessEntityManagerFactory(emf, this.persistenceUnitInfo);
  return emf;
 }

EntityManagerFactory的构造过程结合了Hibernate框架,我们就不再往下分析了。

下面我们将程序启动起来,对EntityManagerFactory的内部结构进行介绍。

首先在上面方法的返回语句上增加断点,从下图中圈出来的位置可以确认创建的EntityManagerFactory对象是SessionFactoryImpl类型的对象:

展开emf,可以看到其内部保存了一个名为fastSessionServices的对象:

继续展开,可以看fastSessionServices内部结构如下:

将eventListenerGroup_PERSIST展开:

上面这个结构就很熟悉了,在数据库审计框架内部原理解析一文中,我们给出的SessionImpl的截图中就包含着相似的结构。

到这里,我们总结下:

  • Spring Boot应用在引入spring-boot-starter-jpa启动器时,会从配置类中加载一个类型为LocalContainerEntityManagerFactoryBean的bean对象;

  • LocalContainerEntityManagerFactoryBean对象的内部保存了一个类型为Future<EntityManagerFactory>的future对象;

  • 这个EntityManagerFactory是一个SessionFactoryImpl类型的实例,它的内部有一个fastSessionServices属性,这个属性中保存了数据库入库持久化时,需要调用的回调方法;

  • 通过SessionFactoryImpl中的fastSessionServices属性,可以关联到AuditingEntityListener。结合上面介绍的AuditingEntityListener的结构,我们编写的SpringSecurityAuditorAware终将被调用,Jpa框架获取到用户身份信息并持久化到数据库中。

OpenEntityManagerInViewInterceptor

还有最后一块拼图,介绍完之后整个框架的逻辑就完整了。

上面我们介绍了SessionFactoryImpl的内部结构,但数据持久化不是通过SessionFactoryImpl处理的,而是通过SessionImpl。那这部分是如何处理的呢?

首先在JpaBaseConfiguration中包含了一个内部配置内JpaWebConfiguration

 @Configuration(proxyBeanMethods = false)
 @ConditionalOnWebApplication(type = Type.SERVLET)
 @ConditionalOnClass(WebMvcConfigurer.class)
 @ConditionalOnMissingBean({ OpenEntityManagerInViewInterceptor.class, OpenEntityManagerInViewFilter.class })
 @ConditionalOnMissingFilterBean(OpenEntityManagerInViewFilter.class)
 @ConditionalOnProperty(prefix = "spring.jpa", name = "open-in-view", havingValue = "true", matchIfMissing = true)
 protected static class JpaWebConfiguration {
  }

这个JpaWebConfiguration内部向IoC容器注入了一个OpenEntityManagerInViewInterceptor对象:

  @Bean
  public OpenEntityManagerInViewInterceptor openEntityManagerInViewInterceptor() {
   if (this.jpaProperties.getOpenInView() == null) {
    logger.warn("spring.jpa.open-in-view is enabled by default. "
      + "Therefore, database queries may be performed during view "
      + "rendering. Explicitly configure spring.jpa.open-in-view to disable this warning");
   }
   return new OpenEntityManagerInViewInterceptor();
  }

这个OpenEntityManagerInViewInterceptor实现了WebRequestInterceptor。在Spring WebMvc中,凡是实现了WebRequestInterceptor接口的bean对象,都会以类似于AOP切面的形式包装在@Controller方法外围。这个OpenEntityManagerInViewInterceptor也不例外。

OpenEntityManagerInViewInterceptorpreHandle()方法中,调用了createEntityManager()创建SessionImpl对象,并将SessionImpl包装成EntityManagerHolder保存在ThreadLocal中。

 @Override
 public void preHandle(WebRequest request) throws DataAccessException {
  ...
  EntityManagerFactory emf = obtainEntityManagerFactory();
  if (TransactionSynchronizationManager.hasResource(emf)) {
   ...
  }
  else {
   ...
   try {
    EntityManager em = createEntityManager();
    EntityManagerHolder emHolder = new EntityManagerHolder(em);
    TransactionSynchronizationManager.bindResource(emf, emHolder);
        ...
   }
   catch (PersistenceException ex) {
        ...
   }
  }
 }

SessionImpl继承自AbstractSharedSessionContract

AbstractSharedSessionContract的初始化方法中,将SessionFactoryImpl中的fastSessionServices拷贝到了其内部的fastSessionServices中。

 public AbstractSharedSessionContract(SessionFactoryImpl factory, SessionCreationOptions options) {
  this.factory = factory;
  this.fastSessionServices = factory.getFastSessionServices();
  ...
  }
 }

下面这张图展示了在OpenEntityManagerInViewInterceptor创建完成SessionImpl对象时,其内部的结构。可以看到,它保存了从SessionFactoryImpl对象中复制的fastSessionServices属性。

总结

到这里,数据库操作审计框架启动过程就介绍完了。主要是:

  • 在IoC容器中,完成AuditingEntityListenerAuditingHandlerAuditorAware的初始化,并维护它们三者的引用关系;

  • 使用LocalContainerEntityManagerFactoryBean维护了一个SessionFactoryImpl类型的对象,该对象内部保存了所有实体类(Entity)在持久化时,需要调用的回调方法;

  • 使用OpenEntityManagerInViewInterceptor,在HTTP请求到来后,通过SessionFactoryImpl创建了SessionImpl对象;

后面的处理过程在数据库审计框架内部原理解析已经介绍过了。

 

镜悬xhs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于旁路监听的数据库安全审计系统
06-14
通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle 数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析数据库安全检测等技术实现,提出一 种发现...
数据库 sql 面试题目及答案解析.zip
最新发布
05-17
- **审计**:跟踪数据库的访问和操作记录。 9. **数据库扩展**: - **读写分离**:主库负责写操作,从库负责读操作,提升并发能力。 - **分片(Sharding)**:将大型数据库拆分为多个较小的数据库,分散负载。 ...
@EntityListeners(AuditingEntityListener.class)介绍
热门推荐
NullPointerException的博客
12-03 1万+
@EntityListeners 源码 /** * Specifies the callback listener classes to be used for an * entity or mapped superclass. This annotation may be applied * to an entity class or mapped superclass. * * @s...
Spring BootJPA + AuditingEntityListener时区设置
Crane的博客
08-25 3001
SpringBoot项目中,如果应用启用了EnableJpaAuditing并且使用AuditingEntityListener对实体的创建时间、更新时间进行自动审计,可能存在生成时间的时区和系统时区不一致的问题。可在应用配置中添加如下配置,将时区设定为指定时区: spring.jpa.properties.hibernate.jdbc.time_zone = GMT+8 ...
Spring Data JPA 从入门到精通~Auditing及其事件详解
小强快跑~~
01-09 1878
Auditing 及其事件详解 Auditing 翻译过来是审计和审核,Spring 的优秀之处在于帮我们想到了很多繁琐事情的解决方案,我们在实际的业务系统中,针对一张表的操作大部分是需要记录谁什么时间创建的,谁什么时间修改的,并且能让我们方便的记录操作日志。Spring Data JPA 为我们提供了审计功能的架构实现,提供了四个注解专门解决这件事情: @CreatedBy 哪个用户创建的。 @CreatedDate 创建的时间。 @LastModifiedBy 修改实体的用户。 @LastM.
Spring Data JPA 使用 AuditingEntityListener @Query注解对update语句中,更新时间不生效
u011843342的博客
11-06 340
JSR 317规范指出,对实体类的生命周期操作,不应该通过EntityManager或Query注解实现,所以Audit无法捕获Query注解产生的更新。解决方法是,不通过update更新数据库,使用set重新赋值后save,可以正常更新修改时间。AuditingEntityListener 不能监听Query注解 Update。
Spring Data JPAAuditing
曾小二的博客
08-01 1319
Auditing是帮我们做审计⽤的,当我们操作⼀条记录的时候,需要知道这是谁创建的、什么时间创建的、最后修改⼈是谁、最后修改时间是什么时候,甚⾄需要修改记录……
2016~2018年数据库系统工程师真题及答案解析
08-06
3. 数据库管理:这包括备份与恢复策略、安全性管理(权限分配、审计)、数据库复制和集群技术。考生需要熟悉常见的备份类型(如全备、增量、差异)和恢复模式,以及如何设置用户权限,保障数据库系统的安全运行。 4...
2019上半年数据库系统工程师考试真题及解析答案.zip
05-19
《2019上半年数据库系统工程师考试真题及解析答案》是针对数据库系统工程师资格认证考试的一份宝贵参考资料。这份压缩包包含了2019年上半年考试的完整试题和详尽的答案解析,对于备考者来说,它既是检验学习效果的试...
2009至2019年上半年数据库系统工程师真题及答案解析
08-10
综上所述,"2009至2019年上半年数据库系统工程师真题及答案解析"提供的资源可以帮助考生全面复习和准备这些关键知识点,通过实践题目和答案解析深入理解数据库系统的理论与实践。通过这样的学习,不仅可以为软考做好...
12 | JPA审计功能解决了哪些问题
一叶知春秋
10-15 335
Auditing 是帮我们做审计用的,当我们操作一条记录的时候,需要知道这是谁创建的、什么时间创建的、最后修改人是谁、最后修改时间是什么时候,甚至需要修改记录……1.可以很容易地让我们写自己的 BaseEntity,把一些公共的字段放在里面,不需要我们关心太多和业务无关的字段,更容易让我们公司的表更加统一和规范,就是统一加上 @CreatedBy、@CreatedDate、@LastModifiedBy、@LastModifiedDate 等。而其他都不变,我们再跑一次刚才的测试用例,发现效果是一样的。
Spring Data JPA 实现用户信息、时间信息的自动注入
glb168的博客
12-23 1565
手把手教你:Spring Data JPA 实现用户信息、时间信息的自动注入。
SpringDataJPA开启审计的实现原理总结
JavaMyDream的博客
04-05 342
【代码】SpringDataJPA开启审计的实现原理总结。
Spring-Data-Jpa AuditingEntityListener @CreatedDate @LastModifiedDate 用法
u010783936的博客
02-28 9180
import com.fasterxml.jackson.annotation.JsonIgnoreProperties; import org.hibernate.validator.constraints.NotBlank; import org.springframework.data.annotation.CreatedDate; import org.springframework.da...
Spring-data-jpa入门(二)
qq_43842093的博客
06-06 1582
上一节我们讲解了spring-data-jpa最基础的架构和最简单的增删查改的实现,可以发现spring-data-jpa在简单增删查改的实现是非常友好的,甚至根本见不着sql语句的存在,让人直呼NB。还记得上一节埋的几个坑吗,这一节就先把坑填了。上一节讲到实体类时,介绍了很多注解的作用及其属性,举的例子是的实体类。我们知道,的主键不是自增的,而是依靠序列来实现主键增长,要想实现一个表的主键是自增长的,我们首先要新建一个此表的序列,让它从1开始(或者从你想要开始的数字开始),每次调用都让序列+1,那么也就实
java实体类绑定监听_java – 以编程方式添加JPA EntityListener / Spring Data AuditingEntityListener...
weixin_28884611的博客
02-27 657
我正在使用JPASpring的一部分(如事务管理,JPA存储库),但我不使用Spring进行依赖注入,而是将Spring部分视为POJO对象.到目前为止,我的工作非常好:我有运行时生成的JPA存储库类,并且事务由Spring类管理.但是,我似乎无法弄清楚如何让JPA审计监听器工作.例如,这是我的BaseEntity,它定义了EntityListener类和审计字段:@MappedSupercla...
spring boot 一对一级联应用 entityManagerFactory 错误
树叶single
10-22 558
以下是错误信息: java.lang.IllegalStateException: Failed to load ApplicationContext at org.springframework.test.context.cache.DefaultCacheAwareContextLoaderDelegate.loadContext(DefaultCacheAwareContextL...
有关OpenEntityManagerInViewInterceptor的深入了解
zengtiangggh的专栏
06-18 3074
近期对shop++代码做了比较深入的研究,从中学到了很多不错的开发思路,由于shop++采用了jpa做为持久层框架,对jpa也有了更深入的了解,这里总结了一些有关OpenEntityManagerInViewInterceptor的问题给大家提供一些参考: 在不使用OpenEntityManagerInViewInterceptor的情况下,Controller层或View层访问Fetc
OpenEntityManagerInViewInterceptor与spring.jpa.open-in-view
我的博客
04-11 4178
What is this spring.jpa.open-in-view=true property in Spring Boot? [java - What is this spring.jpa.open-in-view=true property in Spring Boot? - Stack Overflow](https://stackoverflow.com/question...
数据库学习:概念解析与系统优势
以上内容对于学习和理解数据库基础知识至关重要,尤其对数据库课后习题解答提供了清晰的概念框架。通过深入学习这些概念,可以更好地掌握数据库的原理和应用,提升在实际工作中的数据管理能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

镜悬xhs

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值