通常所有基于休息的框架都提供身份验证。 但是有没有任何框架/ lib /模式可以帮助保护具有以下功能的休息端点
Only a authenticated user with following roles can access a end point with only particular params.
基本上我试图阻止两个用户(具有相同的角色)通过在请求网址中传递每个其他ID来查看彼此的数据
答案 0 :(得分:1)
是的,你应该看看Apache Shiro它提供了非常好的支持角色基础/权限的授权。
如何注释端点的示例如下:
@RequiresRoles(value = "admin")
我建议您查看本文档的Instance-Level Access Control。