我希望为我的 REST 服务实施基于角色的安全性。我正在使用 spring-data-rest 并已配置 JpaRepository 如下:
@Repository
@RestResource(path = "changesets", rel = "changesets")
public interface ChangesetRepository extends JpaRepository<Changeset, Long> { }
我想将@PreAuthorize 注释附加到继承的Page<T> findAll(Pageable pageable) 方法,以便GET 需要特定角色。
有没有办法做到这一点?我需要提供自定义实现还是我遗漏了一些明显的东西?
【问题讨论】:
标签: spring spring-security spring-data-jpa spring-data-rest
如果您使用 Spring Data REST 您的想法是合理的。在您的接口类中,只需重新定义相同的方法并为其添加 @PreAuthorize 注释。代码应该是这样的,虽然我没有测试过
@Repository
@RestResource(path = "changesets", rel = "changesets")
public interface ChangesetRepository extends JpaRepository<Changeset, Long> {
@PreAuthorize("#pk == authentication.id")
Page<Changeset> findAll(Pageable pageable);
}
【讨论】:
您可以为所有存储库添加自己的父类(请参阅how to do it in the documentation)。然后只需添加所有必要的注释,您的安全限制就会应用于所有子 bean。
从架构的角度来看,大多数时候存储库不是应用安全限制的正确位置。您的服务层是更合适的位置(因为您的安全限制取决于您的业务操作,而不是您的数据加载逻辑)。考虑以下示例:您希望在许多服务中重用相同的存储库,并且安全规则不同(对于这些服务)。怎么办?
【讨论】: