使用 Spring 和 Hibernate 自定义审计日志
如果您需要对所有数据库操作进行自动审计,并且您正在使用 Hibernate……您应该使用Envers
或spring data jpa auditing
。但是如果由于某些原因您不能使用 Envers
,您可以使用 hibernate
事件侦听器和 spring
事务同步来实现类似的功能。
首先,从事件监听器开始。您应该捕获所有插入、更新和删除操作。但是有一个棘手的问题——如果您出于任何原因需要刷新会话,则不能使用传递给事件侦听器的会话直接执行该逻辑。在我的情况下,我必须获取一些数据,并且 hibernate
开始向我抛出异常(“id 为 null”)。多个来源确认您不应在事件侦听器中与数据库交互。因此,您应该存储事件以供以后处理。您可以将侦听器注册为 spring bean,如下所示:
@Component
public class AuditLogEventListener
implements PostUpdateEventListener, PostInsertEventListener, PostDeleteEventListener {
@Override
public void onPostDelete(PostDeleteEvent event) {
AuditedEntity audited = event.getEntity().getClass().getAnnotation(AuditedEntity.class);
if (audited !=null) {
AuditLogServiceData.getHibernateEvents().add(event);
}
}
@Override
public void onPostInsert(PostInsertEvent event) {
AuditedEntity audited = event.getEntity().getClass().getAnnotation(AuditedEntity.class);
if (audited !=null) {
AuditLogServiceData.getHibernateEvents().add(event);
}
}
@Override
public void onPostUpdate(PostUpdateEvent event) {
AuditedEntity audited = event.getEntity().getClass().getAnnotation(AuditedEntity.class);
if (audited !=null) {
AuditLogServiceData.getHibernateEvents().add(event);
}
}
@Override
public boolean requiresPostCommitHanding(EntityPersister persister) {
return true;// Envers sets this to true only if the entity is versioned. So figure out for yourself if that's needed
}
}
请注意AuditedEntity
- 它是一个自定义标记注释(retention=runtime
, target=type
),您可以将其放在实体之上。
由于我有 spring 可供我使用的AuditLogServiceData
,所以在我的示例上我决定使用 spring:
/**
* {@link AuditLogServiceStores} stores here audit log information It records all
* changes to the entities in spring transaction synchronizaton resources, which
* are in turn stored as {@link ThreadLocal} variables for each thread. Each thread
* /transaction is using own copy of this data.
*/
public class AuditLogServiceData {
private static final String HIBERNATE_EVENTS ="hibernateEvents";
@SuppressWarnings("unchecked")
public static List<Object> getHibernateEvents() {
if (!TransactionSynchronizationManager.hasResource(HIBERNATE_EVENTS)) {
TransactionSynchronizationManager.bindResource(HIBERNATE_EVENTS,new ArrayList<>());
}
return (List<Object>) TransactionSynchronizationManager.getResource(HIBERNATE_EVENTS);
}
public static Long getActorId() {
return (Long) TransactionSynchronizationManager.getResource(AUDIT_LOG_ACTOR);
}
public static void setActor(Long value) {
if (value !=null) {
TransactionSynchronizationManager.bindResource(AUDIT_LOG_ACTOR, value);
}
}
public void clear() {
// unbind all resources
}
}
除了存储事件之外,我们还需要存储正在执行操作的用户。为了得到它,我们需要提供一个方法参数级别的注释来指定一个参数。在我的例子中的注释被称为AuditLogActor(retention=runtime, type=parameter)
。
现在剩下的是处理事件的代码。我们希望在提交当前事务之前执行此操作。如果事务在提交时失败,审计条目插入也将失败。我们用一点 AOP 来做到这一点:
@Aspect
@Component
class AuditLogStoringAspectextends TransactionSynchronizationAdapter {
@Autowired
private ApplicationContext ctx;
@Before("execution(* *.*(..)) && @annotation(transactional)")
public void registerTransactionSyncrhonization(JoinPoint jp, Transactional transactional) {
Logger.log(this).debug("Registering audit log tx callback");
TransactionSynchronizationManager.registerSynchronization(this);
MethodSignature signature = (MethodSignature) jp.getSignature();
int paramIdx =0;
for (Parameter param : signature.getMethod().getParameters()) {
if (param.isAnnotationPresent(AuditLogActor.class)) {
AuditLogServiceData.setActor((Long) jp.getArgs()[paramIdx]);
}
paramIdx ++;
}
}
@Override
public void beforeCommit(boolean readOnly) {
Logger.log(this).debug("tx callback invoked. Readonly= " + readOnly);
if (readOnly) {
return;
}
for (Object event : AuditLogServiceData.getHibernateEvents()) {
// handle events, possibly using instanceof
}
}
@Override
public void afterCompletion(int status) {
// we have to unbind all resources as spring does not do that automatically
AuditLogServiceData.clear();
}
就我而言,我不得不注入额外的服务,而 spring 抱怨相互依赖的 bean,所以我改为使用applicationContext.getBean(FooBean.class)
. 注意:确保您的方面被 spring 捕获 - 通过自动扫描或通过 xml/java-config 显式注册它。
因此,经过审计的调用将如下所示:
@Transactional
public void saveFoo(FooRequest request,@AuditLogActor Long actorId) { .. }
总结一下:hibernate 事件监听器将所有插入、更新和删除事件存储为 Spring 事务同步资源。一个方面向 spring 注册一个事务“回调”,它在每个事务提交之前被调用。在那里处理所有事件并插入相应的审计日志条目。
这是非常基本的审计日志,它可能在收集处理方面存在问题,而且它肯定没有涵盖所有用例。但它比手动审计日志处理要好得多,并且在许多系统中,审计日志是强制性功能。