如何防止实体关系发生变化？

Question

我正在使用 Spring Boot 通过 JPA 在我们的数据库中存储复杂的 json 结构。

json 结构的根代表一个“House”对象。一个“房子”对象包含几个“家具”。例如：

House ID: 4711
|- Furniture: ID 4712 (with confidential information)

用户对某些房屋及其所有“家具”拥有读/写权限。

我的问题是，如果用户知道它们的主键，则通过 REST-API，用户可以从其他房屋“窃取”家具；有这样的要求：

POST http://localhost:8080/house

{
    houseId: 99991337,
    furnitures: [{
        furnitureId: 4712,
        ...
    }]
}

这导致：

House ID: 4711
|- empty!

House ID: 99991337
|- Furniture 4712 (with confidential information)

尽管用户没有访问 4711 号房屋的权限，但他将家具 4712 与 4711 号房屋“取消链接”，而是将其链接到 99991337 号房屋。

如何禁止更换家具之家？

在 JPA 实体中，存在从房屋到家具的双向 OneToMany-Relationship。我想也许在数据库中搜索任何传入请求的家具，检查所有这些请求的所有权限。但我宁愿只检查房子的许可（因为在现实生活中，我有更多的实体，比如家具）

Answer 1

如果我的理解是正确的，只需通过请求中提供的userId 和houseId 搜索权限表即可。 如果匹配，则用户有权更改houseId。

根据权限，您可以将houseId 设置为您将要保存到数据库的对象，也可以不设置。

如果您仍希望用户更改furniture data，则可以通过为new Furniture() 对象提供furnitureId 和text 来仅保存furniture 实体。

Answer 2

我认为您可以尝试将处理程序放在带有注释@HandleBeforeSave和@RepositoryEventHandler 的Furniture 实体表的更新上，并且在此处理程序中，您只能查询此Furniture 实体并检查它属于哪个House。然后决定如何处理这个更新请求

Answer 3

如果以下陈述成立：

Yes, a furniture should belong to exactly one house and should be privately be owned by that house. Only those users permitted to see/edit the house should be able to see/edit its furniture.

在我看来，这意味着你不应该被允许用已经连接到另一所房子的家具来建造房子（业务要求）。

在创建房子之前，我会先检查家具是否不属于另一所房子（保持数据完整性），如果是则抛出异常。我看到这种情况发生在业务层，它将满足任何可能损害数据/需求的外部边界调用。

您可以将其移到业务层之外，但您可能会在每个频道重复代码或错过一/两个频道。

Answer 4

首先，您的请求结构不正确。出于这样的安全原因，您不能向用户询问他的用户 ID、家庭 ID 等。您需要在后台处理它而不依赖于用户请求。

但是对于这种情况，您可以简单地使用 select insert 更改插入语句。加入权限表以选择语句以检查给定的 id 是否附加到相关用户。如果没有插入的用户试图插入非法 id。