排除 Spring-data-rest 资源的部分字段

Question

我正在尝试将 Spring-data-rest 与 spring-data-mongodb 一起使用来公开只读资源。

我遇到的问题是我想对我的文档有不同的看法。 假设我在文档中有一些私人信息，我不想公开它们。

所以我尝试了几种方法。 我读了这篇 https://spring.io/blog/2014/12/02/latest-jackson-integration-improvements-in-spring 的帖子，描述了如何使用 JsonView 来选择我们想要公开的字段。

我试过这样：

@RepositoryRestResource(collectionResourceRel = "recommandation", path =    "recommandations")
interface RecommandationRepository extends MongoRepository<Recommendation,   ObjectId> {

@Override
@JsonView(View.Public.class)
Iterable<Recommendation> findAll(Iterable<ObjectId> objectIds);
... // other find methods
}

它不起作用。然而，在 cmets 中说：https://spring.io/blog/2014/12/02/latest-jackson-integration-improvements-in-spring#comment-1725671983 答案建议使用@Projections 但是@Projections 会产生这样的网址：“…/recommandations{?projection}” 这意味着投影只是一个选项，因此仍然会暴露整个对象。

这里描述了另一种方法https://github.com/spring-projects/spring-data-rest/wiki/Configuring-the-REST-URL-path 它建议对我们不想公开的字段使用 @RestResource(exported = false) 注释。

但它不灵活。如果我想公开一个公共的只读 API 和一个私有的完全访问 API。不能按 api 禁用此注解。

还有其他建议吗？

Answer 1

重要的一点是 Spring Data REST 使用基于域对象的 Jackson 序列化参数，而不是存储库定义。隐藏特定字段以免出现在 JSON 中的一种简单方法如下：

@Entity
public class User {

    @Id @GeneratedValue
    private Long id;

    private String name;

    @JsonIgnore
    private String password;
    ...

在此示例中，无论如何使用此实体，我的用户对象都不会导出密码字段。 Jackson 支持将这个放在场上，或者放在相应的 getter 方法上。

当您将 @JsonIgnore 放入域模型中时，它会使其成为默认定义。投影是更改渲染哪些字段的选项。看下面的例子：

@Projection(name = "noImages", types = {Item.class})
public interface NoImages {

    public Link getHtmlUrl();

}

这个项目只能在渲染 Item 域对象时使用。它不是默认视图，而是通过 ?projection=noImages 使用的选项。但不要忘记：当应用 Jackson 序列化时，项目将覆盖领域模型的设置。这意味着您可以为上面的 User 对象编写一个投影，并让它包含 String getPassword()。这将覆盖域模型的默认设置，进而导出密码。责任在你。

最后一件事。 Spring Data REST 支持 Excerpt Projections。最常见的用例是您有一个与 Address 对象相关的 Customer 对象。默认情况下，查看客户地址的关系将显示要导航的 URI。但是，如果您一直想要地址信息，您可以通过创建一个呈现地址详细信息的投影来避免这种额外的 GET 操作。然后您可以为 Customer 对象配置它，默认打开此投影，并在您获取客户记录时基本上内联地址详细信息。

我意识到参考文档在所有这些细节上都不是最新的。您可以跟踪我们的进度以适当地更新文档，如下所示：

• https://jira.spring.io/browse/DATAREST-449
• https://jira.spring.io/browse/DATAREST-450
• https://jira.spring.io/browse/DATAREST-451
• https://jira.spring.io/browse/DATAREST-452
• https://jira.spring.io/browse/DATAREST-453
• https://jira.spring.io/browse/DATAREST-454

还有一个错误，即来自 Spring Data REST 的 ALPS 元数据还需要过滤掉带有 @JsonIgnore 标记的域字段（参见 https://jira.spring.io/browse/DATAREST-463）

附： @RestResource 已弃用，并且不是设置导出哪些字段的推荐方法。相反，请使用 @JsonIgnore，如前所示。

Answer 2

根据@johannes-rudolph 的建议...

考虑将此设置应用于字段（或属性，如果您从访问器进行映射）：

@JsonProperty(access = JsonProperty.Access.WRITE_ONLY)    
private String password;

这就是访问值所暗示的：将关联的字段标记为只写。因此该值可以设置，但不能通过 Jackson/JSON 序列化形式检索。