如何处理Spring Data REST应用程序中REST接口的所有权?
使用典型的Manager管理员工场景,其中我有一个业务规则,如果员工由管理员访问数据来管理员工,则管理员只能查看员工的信息:
Manager | Employee
--------+---------
1 | A
1 | B
2 | C
{1}}请求应该在Manager 2访问时返回Employee记录,但是应该为Manager 1返回GET /employees/C
(或类似的东西)。如何使用Spring Data REST / Spring实现此目的安全
答案 0 :(得分:1)
理论上,这可以通过Spring Security ACL实现。来自github的示例项目是here
您也可以按照此帖[{3}}
以不同的方式实现此目的说完这个,很复杂。 Spring Security和ACL没有很好的记录。如果您需要更多指向此答案的链接,请告诉我们。