使用 Spring 和 Hibernate 自定义审计日志

2021-09-24 11:26:53 浏览数 (2714)

如果您需要对所有数据库操作进行自动审计,并且您正在使用 Hibernate……您应该使用​Envers​或​spring data jpa auditing​。但是如果由于某些原因您不能使用 ​Envers​,您可以使用 ​hibernate ​事件侦听器和 ​spring ​事务同步来实现类似的功能。

首先,从事件监听器开始。您应该捕获所有插入、更新和删除操作。但是有一个棘手的问题——如果您出于任何原因需要刷新会话,则不能使用传递给事件侦听器的会话直接执行该逻辑。在我的情况下,我必须获取一些数据,并且 ​hibernate ​开始向我抛出异常(“id 为 null”)。多个来源确认您不应在事件侦听器中与数据库交互。因此,您应该存储事件以供以后处理。您可以将侦听器注册为 spring bean,如下所示:

@Component
public class AuditLogEventListener
        implements PostUpdateEventListener, PostInsertEventListener, PostDeleteEventListener {
 
    @Override
    public void onPostDelete(PostDeleteEvent event) {
        AuditedEntity audited = event.getEntity().getClass().getAnnotation(AuditedEntity.class);
        if (audited !=null) {
            AuditLogServiceData.getHibernateEvents().add(event);
        }
    }
 
    @Override
    public void onPostInsert(PostInsertEvent event) {
        AuditedEntity audited = event.getEntity().getClass().getAnnotation(AuditedEntity.class);
        if (audited !=null) {
            AuditLogServiceData.getHibernateEvents().add(event);
        }
    }
 
    @Override
    public void onPostUpdate(PostUpdateEvent event) {
        AuditedEntity audited = event.getEntity().getClass().getAnnotation(AuditedEntity.class);
        if (audited !=null) {
            AuditLogServiceData.getHibernateEvents().add(event);
        }
    }
 
    @Override
    public boolean requiresPostCommitHanding(EntityPersister persister) {
        return true;// Envers sets this to true only if the entity is versioned. So figure out for yourself if that's needed
    }
}

请注意​AuditedEntity​- 它是一个自定义标记注释(​retention=runtime​, ​target=type​),您可以将其放在实体之上。

由于我有 spring 可供我​使用的​AuditLogServiceData,所以在我的示例上我决定使用 spring:

/**
 * {@link AuditLogServiceStores} stores here audit log information It records all
 * changes to the entities in spring transaction synchronizaton resources, which
 * are in turn stored as {@link ThreadLocal} variables for each thread. Each thread
 * /transaction is using own copy of this data.
 */
public class AuditLogServiceData {
    private static final String HIBERNATE_EVENTS ="hibernateEvents";
    @SuppressWarnings("unchecked")
    public static List<Object> getHibernateEvents() {
        if (!TransactionSynchronizationManager.hasResource(HIBERNATE_EVENTS)) {
            TransactionSynchronizationManager.bindResource(HIBERNATE_EVENTS,new ArrayList<>());
        }
        return (List<Object>) TransactionSynchronizationManager.getResource(HIBERNATE_EVENTS);
    }
 
    public static Long getActorId() {
        return (Long) TransactionSynchronizationManager.getResource(AUDIT_LOG_ACTOR);
    }
 
    public static void setActor(Long value) {
        if (value !=null) {
            TransactionSynchronizationManager.bindResource(AUDIT_LOG_ACTOR, value);
        }
    }
 
    public void clear() {
       // unbind all resources
    }
}

除了存储事件之外,我们还需要存储正在执行操作的用户。为了得到它,我们需要提供一个方法参数级别的注释来指定一个参数。在我的例子中的注释被称为​AuditLogActor(retention=runtime, type=parameter)​。

现在剩下的是处理事件的代码。我们希望在提交当前事务之前执行此操作。如果事务在提交时失败,审计条目插入也将失败。我们用一点 AOP 来做到这一点:

@Aspect
@Component
class AuditLogStoringAspectextends TransactionSynchronizationAdapter {
 
    @Autowired
    private ApplicationContext ctx;
     
    @Before("execution(* *.*(..)) && @annotation(transactional)")
    public void registerTransactionSyncrhonization(JoinPoint jp, Transactional transactional) {
        Logger.log(this).debug("Registering audit log tx callback");
        TransactionSynchronizationManager.registerSynchronization(this);
        MethodSignature signature = (MethodSignature) jp.getSignature();
        int paramIdx =0;
        for (Parameter param : signature.getMethod().getParameters()) {
            if (param.isAnnotationPresent(AuditLogActor.class)) {
                AuditLogServiceData.setActor((Long) jp.getArgs()[paramIdx]);
            }
            paramIdx ++;
        }
    }
 
    @Override
    public void beforeCommit(boolean readOnly) {
        Logger.log(this).debug("tx callback invoked. Readonly= " + readOnly);
        if (readOnly) {
            return;
        }
        for (Object event : AuditLogServiceData.getHibernateEvents()) {
           // handle events, possibly using instanceof
        }
    }
 
    @Override
    public void afterCompletion(int status) {
    // we have to unbind all resources as spring does not do that automatically
        AuditLogServiceData.clear();
     }

就我而言,我不得不注入额外的服务,而 spring 抱怨相互依赖的 bean,所以我改为使用​applicationContext.getBean(FooBean.class)​. 注意:确保您的方面被 spring 捕获 - 通过自动扫描或通过 xml/java-config 显式注册它。

因此,经过审计的调用将如下所示:

@Transactional
public void saveFoo(FooRequest request,@AuditLogActor Long actorId) { .. }

总结一下:hibernate 事件监听器将所有插入、更新和删除事件存储为 Spring 事务同步资源。一个方面向 spring 注册一个事务“回调”,它在每个事务提交之前被调用。在那里处理所有事件并插入相应的审计日志条目。

这是非常基本的审计日志,它可能在收集处理方面存在问题,而且它肯定没有涵盖所有用例。但它比手动审计日志处理要好得多,并且在许多系统中,审计日志是强制性功能。