JAVA Swing客户端，远程数据库数据访问； 伊巴蒂斯

Question

我有一个 Java 客户端需要访问远程数据库。 目标是向用户隐藏数据库凭据，而不是在代码中硬编码任何凭据。 因此，数据库访问可能必须在服务器端。

我仅限于使用 Ibatis 作为数据抽象框架。 除此之外，我在网络服务器上运行 JBoss，允许我使用数据源。

您将如何设计远程数据库访问和数据序列化/反序列化。 您是否更喜欢某种数据流的 Web 服务而不是套接字？ 您如何实现两者中的任何一个？

Answer 1

构建一个服务层并通过 RMI 公开它 - 可能作为 EJB3 无状态会话 bean，就像您拥有 JBoss 一样，也可能作为纯 RMI。 除非您有特定需求，否则我不会打扰网络服务。 RMI 将为您处理序列化的情况。

您的服务层需要公开一种方法，使用在 Swing 应用程序启动时输入的凭据来对用户进行身份验证。 所有数据调用都经过服务层。 Swing 应用程序中不存在 SQL。

除了隐藏数据库凭据之外，这种安排还有其他好处。 您不仅最终得到分层架构，而且通过在服务器上拥有单个数据源，您可以通过在所有客户端之间共享准备好的语句来提高效率。

Answer 2

那么您希望用户能够在不知道凭据的情况下访问数据库吗？ 您唯一的选择是服务器端数据库访问。 不幸的是，在 Java 中无法隐藏用户名和密码——如果将其放入属性文件中并对其进行加密，坚定的攻击者仍然可以附加调试器并查看代码中保存的值。

另外，除非您通过安全连接连接到数据库，否则有人可以运行数据包嗅探器（例如 tcpdump）并在那里获取凭据。

您说您正在运行 JBoss 服务器，最好的办法可能是设置远程 EJB，以便您的客户端应用程序不会直接访问数据库 - 它必须通过您的 EJB 方法。 （它不一定是 EJB，顺便说一句，如果您愿意，您可以执行诸如 Web 服务之类的操作）。

关键是，您的服务器直接与数据库对话，而您的客户端的唯一访问是通过您在服务器上定义的一组有限的接口。

Answer 3

正如已经说过的，您必须连接到处理数据库连接的服务器。 30 分钟的努力是无法有效阻止某人破坏您的安全的。

如果客户端在 Intranet 内进行本地连接，那么在应用程序服务器上使用 EJB 可能是最佳选择...尽管您可能需要无状态会话 Bean，但我不一定会折扣消息驱动 Bean。

对于来自外部的较长距离的流量，我会使用 HTTPS 上的 Web 服务。

无论如何，大多数应用程序服务器都具有通过 WSDL 将其 EJB 公开为 Web 服务的机制； 并且有大约一百个实用程序可以从 WSDL 生成客户端、调用 Web 服务（axis 的 wsdl2java 工作得足够好）