在 Spring Boot 中有效地在每个操作之前对操作进行身份验证

Question

我有一个如下所示的代码块。对于每种方法，我将其称为操作身份验证。是否可以有效地处理注释或其他事情？

@GetMapping
public ResponseEntity getAction(@PrincipalUser user, Long actionId)
{
   repository.checkUserForAction(user.getId(), actionId);
   implement actions...
   return service call;
}
@PostMapping
public ResponseEntity addAction(@PrincipalUser user)
{
   repository.checkUserForAction(user.getId());
   implement actions...
   return service call;
}
@DeleteMapping
public ResponseEntity addAction(@PrincipalUser user, Long actionId)
{
   repository.checkUserForAction(user.getId(), actionId);
   implement actions... 
   return service call;
}

实际上，在这里我的另一个问题是我每次都调用存储库方法，我知道这不是一种有效的方法。

Answer 1

您可以使用Spring Security 和@PreAuthorize 注释。

例子：

@PreAuthorize("@authorizationService.check(#actionId)")
@DeleteMapping
public ResponseEntity performAction(Long actionId) {
implement actions...
}

并且在authorizationService内部封装了授权逻辑，而且authorizationService必须是一个bean并且必须设置@EnableGlobalMethodSecurity(prePostEnabled = true)。