通过在DAO层(或数据访问层)中实现这样的方法:
getRecordsBySupervisor(String staffid)?
控制这种访问的最佳实践是什么?似乎大多数安全框架都是用来控制特定地址对某个角色的访问,但在这种情况下无法工作?最佳实践:主管可以搜索他的下属记录?
那么对于这种情况有一个体面的实现方法,并更好地在将来重用的最佳做法是什么?
在此先感谢!
通过在DAO层(或数据访问层)中实现这样的方法:
getRecordsBySupervisor(String staffid)?
控制这种访问的最佳实践是什么?似乎大多数安全框架都是用来控制特定地址对某个角色的访问,但在这种情况下无法工作?最佳实践:主管可以搜索他的下属记录?
那么对于这种情况有一个体面的实现方法,并更好地在将来重用的最佳做法是什么?
在此先感谢!
这是记录的安全性。当员工创建记录时,您必须将其权限授予该员工的主管。然后,您的getRecordsBySupervisor只需返回主管可以看到的所有记录。
一个优雅和透明的方法是使用动态数据过滤器。
看看休眠过滤器:
http://docs.jboss.org/hibernate/core/3.3/reference/en/html/filters.html