Пул соединений с базами данных в сервлетах Java

Question

Пул соединений с базами данных в сервлетах Java

2

Я создаю веб-приложение для системы управления сотрудниками, используя: Apache Tomcat в качестве HTTP-сервера, Oracle в качестве базы данных, апплеты для программирования на стороне клиента и сервлеты для программирования на стороне сервера. Я также хочу использовать DBCP для управления соединениями с базой данных.

Я хотел бы, чтобы сервлет выполнял запросы, чтобы использовать имя пользователя и пароль, введенные клиентом для подключения. Но до сих пор я видел, что имя пользователя и пароль для пула соединений должны быть установлены при настройке ресурса в context.xml.

Есть ли способ достичь этого и по-прежнему использовать DBCP? Или мне придется открывать соединения в doGet() и doPost() для каждого запроса?

athena's daughter 10 апр. 2015, в 00:08

Источник

1

Зачем клиенту предоставлять свои учетные данные для доступа к базе данных? Какова ваша мотивация здесь?
Luiggi Mendoza 09 апр. 2015, в 21:37
0

Вы можете создать свой собственный пул соединений и сохранить его в контексте сервлета, который будет использоваться запросами повторно.
Zielu 09 апр. 2015, в 21:40
0

@Luiggi Mendoza Клиент должен предоставить имя пользователя и пароль для проверки; сервлет проверяет, существует ли такой пользователь, и позволяет ему выполнять запросы / обновления в базе данных.
athena's daughter 09 апр. 2015, в 21:42
0

@Zielu Можете ли вы быть более конкретным?
athena's daughter 09 апр. 2015, в 21:42
1

Ваш вариант использования больше похож на логин, а не на прямую проверку пользователя базы данных.
Luiggi Mendoza 09 апр. 2015, в 21:42
0

@LuiggiMendoza Какая разница между ними?
athena's daughter 09 апр. 2015, в 21:44
0

Вы можете проверить учетные данные пользователя по таблице в вашей базе данных или другому механизму безопасности, например LDAP, и при этом иметь единственного пользователя базы данных, который будет выполнять операции с базой данных. Таким образом, вы управляете только одним пользователем базы данных. В предлагаемом решении (пользователь базы данных на пользователя приложения) вы можете создать несколько соединений с базой данных на пользователя в приложении и использовать больше ресурсов на стороне сервера.
Luiggi Mendoza 09 апр. 2015, в 21:48
0

Обычно для вашего приложения есть один пользователь БД (сервлеты), и в вашей БД есть специальная таблица, в которой хранятся пользователи ваших приложений (а не пользователи БД, просто ваше приложение). Соединение с БД осуществляется с использованием всегда одного и того же «пользователя БД», но затем проверяются учетные данные пользователей по этой специальной пользовательской таблице приложения.
Zielu 09 апр. 2015, в 21:51
0

Спасибо, ты прав. Это логин. Я не рассматривал несколько соединений на пользователя. Но все же, как я могу предоставить разные имя пользователя и пароль для каждого пользователя для соединения, взятого из пула?
athena's daughter 09 апр. 2015, в 21:56
0

В странном случае вам нужно использовать разных пользователей для доступа к одной и той же базе данных, просто создайте / настройте другой пул соединений с базой данных. Вы также можете создавать пулы соединений с базой данных программно, но вы должны делать это только тогда, когда это необходимо, и вашей текущей проблеме это не нужно.
Luiggi Mendoza 09 апр. 2015, в 21:57
0

@Zielu Но если я сделаю только один пользователь БД и все подключения будут выполнены с использованием этого пользователя, я не смогу сказать, кто и какие изменения сделал в базе данных. Кроме того, это будет означать, что любой пользователь приложения не ограничен ролями / привилегиями, которые ему были предоставлены в базе данных.
athena's daughter 09 апр. 2015, в 22:08
0

@LuiggiMendoza Но если я получаю доступ к базе данных, используя только одно соединение, я не могу сказать, кто сделал какие изменения в базе данных. Кроме того, это будет означать, что любой пользователь приложения не ограничен ролями / привилегиями, которые им были предоставлены в базе данных (если им удастся пройти сервлет, использованный для выполнения запросов / операций).
athena's daughter 09 апр. 2015, в 22:15
0

Вот почему вам нужны дополнительные поля в таблицах для хранения имени пользователя, который внес изменение, а также даты и времени, которые он / она сделал. Кроме того, вы могли бы иметь систему журнала аудита и использовать триггеры или аспекты для записи правильной информации аудита в эти таблицы перед любой успешной вставкой / обновлением / удалением в любой из ваших таблиц.
Luiggi Mendoza 09 апр. 2015, в 22:34
0

@ LuiggiMendoza Ну, это одна проблема вниз. Но как мне ограничить доступ к определенным таблицам и привилегиям для определенных пользователей, поскольку для однопользовательского подключения пользователь должен иметь расширенный набор привилегий всех возможных пользователей приложения?
athena's daughter 09 апр. 2015, в 22:49
0

Вы определяете роли для аутентифицированных пользователей в своем приложении, а затем проверяете, есть ли у пользователя авторизация для доступа или изменения ресурса. И продолжайте использовать одного пользователя базы данных.
Luiggi Mendoza 09 апр. 2015, в 22:51

Показать ещё 13 комментариев

Теги:

java

servlets

tomcat

oracle11g

2 ответа

0

`DataSource::getConnection(String username, String password)`

Интерфейс DataSource имеет метод, специально предназначенный для вашей цели: изменение имени и пароля для каждого соединения при использовании всех других ранее установленных параметров для подключения: DataSource::getConnection(String username, String password)

Интерфейс java.sql.ConnectionPoolDataSource содержит такой же метод getPooledConnection(String user, String password). Так что ваша конкретная реализация пула соединений может поддерживать это.

public javax.sql.DataSource obtainDataSource() {
    org.postgresql.ds.PGSimpleDataSource dataSource = new PGSimpleDataSource() ;
    dataSource("AcmeInvoices database data source") ;
    source.setServerName( "localhost" ) ;
    source.setDatabaseName( "invoicing" ) ;
    // source.setUser( "Scott" ) ;
    // source.setPassword( "tiger" ) ;
    return dataSource ;  // Returning a reference to the object of this concrete class 'PGSimpleDataSource' as an object of the interface 'DataSource'. 
}

При выполнении какой-либо работы с базой данных:

Connection conn = myDataSource.getConnection( "Scott" , "tiger" ) ;
… run SQL
conn.close() ;  // Or better yet: Use try-with-resources syntax to automatically close the connection.

Для получения дополнительной информации см. Ответ на мой связанный вопрос.

Смотрите Oracle Tutorial on DataSource.

Basil Bourque 26 май 2019, в 23:14

Ещё вопросы

Зачем клиенту предоставлять свои учетные данные для доступа к базе данных? Какова ваша мотивация здесь?
Вы можете создать свой собственный пул соединений и сохранить его в контексте сервлета, который будет использоваться запросами повторно.
@Luiggi Mendoza Клиент должен предоставить имя пользователя и пароль для проверки; сервлет проверяет, существует ли такой пользователь, и позволяет ему выполнять запросы / обновления в базе данных.
@Zielu Можете ли вы быть более конкретным?
Ваш вариант использования больше похож на логин, а не на прямую проверку пользователя базы данных.
@LuiggiMendoza Какая разница между ними?
Вы можете проверить учетные данные пользователя по таблице в вашей базе данных или другому механизму безопасности, например LDAP, и при этом иметь единственного пользователя базы данных, который будет выполнять операции с базой данных. Таким образом, вы управляете только одним пользователем базы данных. В предлагаемом решении (пользователь базы данных на пользователя приложения) вы можете создать несколько соединений с базой данных на пользователя в приложении и использовать больше ресурсов на стороне сервера.
Обычно для вашего приложения есть один пользователь БД (сервлеты), и в вашей БД есть специальная таблица, в которой хранятся пользователи ваших приложений (а не пользователи БД, просто ваше приложение). Соединение с БД осуществляется с использованием всегда одного и того же «пользователя БД», но затем проверяются учетные данные пользователей по этой специальной пользовательской таблице приложения.
Спасибо, ты прав. Это логин. Я не рассматривал несколько соединений на пользователя. Но все же, как я могу предоставить разные имя пользователя и пароль для каждого пользователя для соединения, взятого из пула?
В странном случае вам нужно использовать разных пользователей для доступа к одной и той же базе данных, просто создайте / настройте другой пул соединений с базой данных. Вы также можете создавать пулы соединений с базой данных программно, но вы должны делать это только тогда, когда это необходимо, и вашей текущей проблеме это не нужно.
@Zielu Но если я сделаю только один пользователь БД и все подключения будут выполнены с использованием этого пользователя, я не смогу сказать, кто и какие изменения сделал в базе данных. Кроме того, это будет означать, что любой пользователь приложения не ограничен ролями / привилегиями, которые ему были предоставлены в базе данных.
@LuiggiMendoza Но если я получаю доступ к базе данных, используя только одно соединение, я не могу сказать, кто сделал какие изменения в базе данных. Кроме того, это будет означать, что любой пользователь приложения не ограничен ролями / привилегиями, которые им были предоставлены в базе данных (если им удастся пройти сервлет, использованный для выполнения запросов / операций).
Вот почему вам нужны дополнительные поля в таблицах для хранения имени пользователя, который внес изменение, а также даты и времени, которые он / она сделал. Кроме того, вы могли бы иметь систему журнала аудита и использовать триггеры или аспекты для записи правильной информации аудита в эти таблицы перед любой успешной вставкой / обновлением / удалением в любой из ваших таблиц.
@ LuiggiMendoza Ну, это одна проблема вниз. Но как мне ограничить доступ к определенным таблицам и привилегиям для определенных пользователей, поскольку для однопользовательского подключения пользователь должен иметь расширенный набор привилегий всех возможных пользователей приложения?
Вы определяете роли для аутентифицированных пользователей в своем приложении, а затем проверяете, есть ли у пользователя авторизация для доступа или изменения ресурса. И продолжайте использовать одного пользователя базы данных.

Zielu · Accepted Answer · 2015-04-09T21-49-00.000Z

Как уже упоминалось в комментариях, логика ограничения выполняется на стороне приложения, а не на стороне базы данных.

Но если вы действительно хотите использовать модель безопасности БД, вам нужно создать отдельный DataSource (ConnectionPool) для каждого зарегистрированного пользователя и сохранить его в своем сеансе. Если у вас много одновременного доступа, вы скоро обнаружите, что у вас заканчиваются ресурсы.

Например, я использую DataSource, поскольку его проще настроить, но вы можете просто использовать любую реализацию пула соединений.

В действии входа вы создаете новый DataSource (например, используя apache common: http://commons.apache.org/proper/commons-dbcp/), и вы вставляете в сеанс

BasicDataSource ds = new BasicDataSource();
...
ds.setPassword(userPassword);
ds.setUserName(login);
...

HttpSession session = request.getSession();
session.setAttribute("DBcon",ds);

и в ваших других получает/сообщения:

HttpSession session = request.getSession();
DataSource ds = (DataSource)session.getAttribute("DBcon");

Поскольку он будет одним источником данных для каждого пользователя, убедитесь, что вы используете некоторые низкие параметры пула, например size = 3, так как этого должно быть достаточно для пользователя.

Пул соединений с базами данных в сервлетах Java

2 ответа

DataSource::getConnection​(String username, String password)

Ещё вопросы

`DataSource::getConnection(String username, String password)`