使用 Hibernate 和 Spring 实现乐观锁

Posted 2023-02-16

【中文标题】使用 Hibernate 和 Spring 实现乐观锁

【英文标题】：Implementing Optimistic lock using Hibernate and Spring

【发布时间】：2013-10-27 13:17:03

【问题描述】：

我正在尝试实现乐观锁定以避免丢失更新的情况。在我的应用程序中，当两个用户获取相同的记录并且第一个用户通过一些更改对其进行更新时。查看同一记录的第二个用户看不到此更改，他自己进行了一些更改并更新了它。因此，第一个人的变化丢失了。为了防止这种情况，我写了以下内容，但问题仍然存在。我是这个概念的新手，无法确定问题。

我试图通过阅读doc 11.3.4 来实现这一点。自定义自动版本控制部分。

配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:tx="http://www.springframework.org/schema/tx"
xsi:schemaLocation="
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd">

<tx:annotation-driven transaction-manager="txManager"/>

<bean id="txManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
  <property name="dataSource" ref="dataSource"/>
</bean>

<bean id="hibernateTemplate" class="org.springframework.orm.hibernate3.HibernateTemplate">
  <property name="sessionFactory" ref="sessionFactory"/>
</bean>

<bean id="sessionFactory" class="org.springframework.orm.hibernate3.annotation.AnnotationSessionFactoryBean">
  <property name="dataSource" ref="dataSource"/>
  <property name="annotatedClasses">
    <list>
        <value>server.bo.Dept</value>
        <value>server.bo.Emp</value>
    </list>
  </property>
  <property name="hibernateProperties">
    <props>
        <prop key="hibernate.dialect">org.hibernate.dialect.SQLServer2008Dialect</prop>
        <prop key="hibernate.show_sql">false</prop>
    </props>
  </property>
</bean>
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
  <property name="driverClassName" value="net.sourceforge.jtds.jdbc.Driver"/>
  <property name="url" value="$db.url"/>
  <property name="username" value="$db.username"/>
  <property name="password" value="$db.password"/>
</bean>
<bean id="deptDAO" class="server.dao.DeptDAOImpl">
  <property name="hibernateTemplate" ref="hibernateTemplate"/>
</bean>
</beans>

实体类

@Entity
@Table(name = "Dept")
@org.hibernate.annotations.Entity(dynamicUpdate = true,optimisticLock = OptimisticLockType.ALL)
public class Dept
    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    @Column(name = "ID")
    Long id;

    @OneToMany(cascade = CascadeType.REMOVE, fetch = FetchType.EAGER, mappedBy = "deptId")
    @Fetch(FetchMode.SELECT)
    @OrderBy(value = "id DESC")
    List<Emp> Emplist;

    public Dept() 
    // Getters and setters

DAO 实现

public class DeptDAOImpl extends HibernateDaoSupport implements DeptDAO 
    @Transactional(readOnly = true, propagation = Propagation.REQUIRED, isolation = Isolation.REPEATABLE_READ)
    public Dept getDeptById(Long id) 
            Object param[] = new Object[]id;
            String  query = "select d from Dept d where d.id=? and d.deleted='0'";
            List<Dept> deptDetailsList = getHibernateTemplate().find(query,param);
            Dept deptDetails = null;
            if(deptDetailsList !=null && deptDetailsList .size()>0)
                deptDetails = (Dept)deptDetailsList.get(0);
            return deptDetails ;
    

    @Transactional(readOnly = false, propagation = Propagation.REQUIRED, isolation = Isolation.REPEATABLE_READ)
    public long updateDept(Dept dept) 
            if (dept.getId() == null)  
                getSession().save(dept);
             else 
                getSession().update(dept);
            
            if (dept.getEmplist() != null) 
                    final int size = dept.getEmplist().size();
                    for (int i = size - 1; i >= 0; i--)  
                        Emp emp = dept.getEmplist().get(i);
                        if (emp.getDeptId() == null) 
                            emp.setDeptId(dept.getId());
                    
                    if (RecordStatus.NEW.equals(emp.getRecordStatus())) 
                        getSession().save(emp);
                     else if (RecordStatus.DELETED.equals(emp.getRecordStatus())) 
                        getSession().delete(emp);
                     else if (RecordStatus.MODIFIED.equals(emp.getRecordStatus())) 
                        getSession().update(emp);
                    
                
        
        return dept.getId();
    

提前致谢

【参考方案1】：

JPA/Hibernate Optmistic 锁定的工作原理是使用一些字段来存储最后修改的版本（例如时间戳、long），然后将会话中实体的版本与数据库中的实体进行比较，以查看是否可以保存更改.

为此，您需要在实体中使用@Version 注释的字段。

请参阅下面的示例。

http://www.javacodegeeks.com/2012/11/jpahibernate-version-based-optimistic-concurrency-control.html

要在 web 应用程序中工作需要进一步考虑，但是如果两个人加载相同的实体进行编辑，然后一段时间后提交他们的编辑，他们很可能都会成功，除非您使用某种长时间运行的会话，正在编辑的实体将在表单提交时从数据库中重新加载、填充和保存。

例如修订版 1 中的实体

加载用户 1 进行编辑：第 1 次修订 要编辑的用户 2 加载：第 1 次修订 用户 2 提交表单：实体（在 r1）已加载，字段已绑定，实体已保存：修订版为 2。 用户 1 提交表单：实体（在 r2）已加载，字段已绑定，实体已保存：修订版为 3。

因此，要使其正常工作，您可以查看使用表单提交隐藏字段，该表单在加载时存储实体修订。所以，在上面的最后一步，当用户 1 提交时，revision 字段将被设置回 1，并且更新将失败，因为 DB 中的记录为 r2。

【讨论】：

我会避免使用隐藏字段，因为恶意用户可以更改这些值并使系统进入意外状态。为安全起见，应在服务器端维护状态。见owasp.org/index.php/Web_Parameter_Tampering

嗨内森。我熟悉参数篡改的危险。鉴于到达此屏幕的用户显然具有编辑权限，您能否提出用户篡改版本号的任何后果？

除非我遗漏了什么，否则用户不需要将版本号设置为任意值，因此不应从用户输入中读取版本。服务器应该在会话中维护版本号（例如），而不是让用户能够更改他们不需要的内容。

嗯，是的，你可以把它放在会话中，但是我不太喜欢把东西放在会话中。此外，将它放在会话中并不能解决问题：我可以附加一个额外的参数，而不是编辑隐藏字段。事实是在给出的示例中，我不在乎用户是否将版本从 10 更改为 100：它是一些没有意义的任意数字。

@Nathan 隐藏字段版本号对我来说不是问题。您将如何防止用户简单地刷新页面，忽略所做的修改，将所有字段设置为原来的状态并再次提交？您无法阻止对数据具有写入权限的人故意破坏数据。