我正在使用 Spring Boot 和 Spring Data Rest 创建一个简单的 CRUD-App(购物清单)。我有一个资源:ShoppingItem。有没有一种简单的方法可以只返回属于发送请求的用户的资源? (多用户支持)所以用户只能获得他自己的 ShoppingItems 而不是每个 ShoppingItem。
还是我必须自己实现一个Controller,我在哪里做?
我发现Spring Data REST filtering data based on the user 这种方法可以根据用户过滤资源,但这对存储库端点没有帮助。
提前致谢
【问题讨论】:
标签: java spring spring-security spring-data-rest
你最好实现一个控制器有几个原因:
假设您的应用程序具有某种管理界面来查看所有购物清单(类似于管理员帐户)
或者您需要在某些基于 cron 的作业中操作购物清单(缺少用途)
代码中的业务规则更适合学习新项目(即并非所有初级程序员都能轻松应对 Spring Magic)
需要注意的缺点:
【讨论】:
我最近解决了这个问题,见Spring Data Rest Override Repositories (Controllers vs AOP)
我发现最优雅的解决方案是使用 AOP,这个示例带有 QueryDSL 和 Spring Data REST Repositories:
@Aspect
@Transactional
@Component
public class FilterProjectsAspect {
@Pointcut("execution(* com.xxx.ProjectRepository.findAll(..))")
public void projectFindAll() {
}
@Around("projectFindAll()")
public Object filterProjectsByUser(final ProceedingJoinPoint pjp) throws Throwable {
Object[] args = pjp.getArgs();
for (int i = 0; i < args.length; i++) {
if (args[i] instanceof Predicate) {
Predicate predicate=(Predicate) args[i];
BooleanExpression isProjectOwner =buildExpressionForUser()
predicate = ExpressionUtils.allOf(isProjectOwner, predicate);
args[i]=predicate; //Update args
}
return pjp.proceed(args);
}
}
【讨论】:
如果您正在使用 Spring 安全集成,您可以使用 ACL(可能很重)或简单的 postFilter,如下所示:
public interface ShoppingItemRepository extends CrudRepository<ShoppingItem, Long> {
@PostFilter("filterObject.user.getId() == principal.id")
@Override
Iterable<ShoppingItem> findAll();
}
【讨论】: