保护 spring-data-rest 的数据

Question

我正在使用 Spring Data Rest 向我们的 React 前端应用程序公开 JPA 存储库。 而且我还使用 Spring Security 和 JWT 来保护 REST API。

例如，我们有如下实体和存储库：

@Entity
@Table(name = "customer")
public class Customer {
  @Id
  @GeneratedValue(strategy = GenerationType.IDENTITY)
  private long id;
  ....
}

public interface CustomerRepository extends PagingAndSortingRepository<Customer, Long> {
}

Spring Data Rest 会将 CustomerRepository 暴露给 REST 端点 /api/customers 所以我们的 React 应用程序可以调用 REST 端点来获取数据。效果很好。

但是，拥有有效 JWT 令牌的人可以使用 Postman 等工具从服务器获取所有客户数据。当然，我们不希望这种情况发生。

我的问题：

• 如何防止此类异常使用？
• 使用 Spring Data Rest 的最佳做法是什么？

Answer 1

您的应用程序使用 Spring Data REST 公开一个 REST API。您的实体之一是通过CustomerRepository 公开的Customer 实体。在通过调用/api/customers 查询所有实体的列表时，您只希望列出查询主体有权查看的那些Customer 实体。

这可以通过使用@PreFilter 或@PostFilter 将相关方法注释为explained in the Spring Security reference documentation 来完成。您需要指定某种条件。

一个例子：

@PostFilter(hasPermission(filterObject, 'read'))
public List<Customer> findAll();

请注意，@PostFilter 会遍历返回值，这可能需要一些时间，具体取决于返回列表的大小。