[英]spring-hibernate service/dao security design query
我正在嘗試創建各種服務,例如:
UserService
UserPermissionService
AddressBookService
哪個會訪問dao's,例如:
UserDao
UserPermissionDao
AddressBookDao
CompanyDao
這些將使用Spring-Hibernate堆棧並打包在多個webapps的后端jar中。 我希望服務功能可用,具體取決於調用用戶對象的權限。 此外,調用者(用戶)對象將具有調用用戶的權限。
查詢 :我應該將呼叫者傳遞給每個服務方法調用,然后檢查其權限嗎? 或者是否有更好的方法使用'Spring / AOP'和/或'Factory Pattern',其中Caller對象可用於Service方法。
這種情況的一種模式是將安全性令牌存儲在ThreadLocal中,並在服務方法中首先要求該令牌具有相應的權限。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.