使用Spring Security保护@RequestBody的正确方法是什么?
例如:User可以有多个Blog,每个Blog可以有多个Entry。用户会将条目保存到某个博客,请求将如下所示:
@RequestMapping(value="/api/entry", method=RequestMethod.POST)
@ResponseBody
public Entry save(@Valid @RequestBody Entry entry) {
this.entryService.save(entry);
return entry;
}
现在,传入的entry有一个Blog,用户可以审核请求并选择其他人的博客,有效地将条目发布到他们的博客。虽然我可以在验证中捕获这个(查询持久层以验证Blog属于登录的User)我觉得这应该由Spring Security处理。如果是这样,我该怎么做呢?
答案 0 :(得分:7)
我们遇到过这种情况。
这是两个解决方案。我不太喜欢
@RequestMapping(value="/api/entry", method=RequestMethod.POST)
@ResponseBody
@PreAuthorize("#entry.author.name == principal.name)"
public Entry save(@Valid @RequestBody Entry entry, Principal principal) {
this.entryService.save(entry);
return entry;
}
或
@RequestMapping(value="/api/entry", method=RequestMethod.POST)
@ResponseBody
@PreAuthorize("Decision.isOK(entry, principal)")
public Entry save(@Valid @RequestBody Entry entry, Principal principal) {
this.entryService.save(entry);
return entry;
}
//在这种情况下,Spring将从Decision类中调用静态isOk()方法。它应该返回布尔值。
Spring为该方法注入Principal主要授权对象,您不必担心它。 使用
启用@PreAuthorize注释
<security:global-method-security pre-post-annotations="enabled" />
第二次使用Aspect。创建方面。
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Protector {
}
@Aspect
@Component
public class MyAspect {
@Before("@annotation(com.xyz.Protector)")
public void before(JoinPoint joinPoint) throws Throwable {
//u can get method object from joinPoint object,
Method method = ((MethodSignature)joinPoint.getMethodSignature()).getMethod();
//As long as you have Method object you can read the parameter objects (Entry and Principal) with reflection.
//So Compare here: If entry.getOwner().getId().equal(principal.getName()) blah blah blah
}
}
@RequestMapping(value="/api/entry", method=RequestMethod.POST)
@ResponseBody
@Protector
public Entry save(@Valid @RequestBody Entry entry, Principal principal) {
this.entryService.save(entry);
return entry;
}
如果你有方面,你可以拥有更多的运行时
另请参阅此ulr