Spring Data Rest：如何保护 findById() 但不用于预测？

Question

我正在使用 Spring-Data-Rest，并且我想确保实体的 GET-Request 仅在一个不请求投影时（因为投影隐藏了所有明智的东西）。例如：

public interface UsergroupRepository extends OwnableRepository<User> {
    @PostAuthorize("@userService.isMe(returnObject)")
    Optional<Usergroup> findById(Long id);
}

但是这条规则也禁止访问投影。那我该怎么办？

Answer 1

public interface UsergroupRepository extends OwnableRepository<User> {
    @PostAuthorize("@userService.isMe(returnObject)")
    Optional<User> findById(Long id);

    Optional<UserProjection> findByIdWithProjection(Long id);
}

不要在投影界面添加@Projection。用户不需要知道它。

唯一的缺点是另一个端点会不同：/users/search/findByIdWithProjection （但是您可以使用@RestResource 重命名端点）