Spring Data REST - 如何处理对象所有权

时间:2015-12-07 15:14:24

标签: java spring spring-security spring-data-rest

如何处理Spring Data REST应用程序中REST接口的所有权?

使用典型的Manager管理员工场景,其中我有一个业务规则,如果员工由管理员访问数据来管理员工,则管理员只能查看员工的信息:

Manager | Employee
--------+---------
1       | A
1       | B
2       | C

{1}}请求应该在Manager 2访问时返回Employee记录,但是应该为Manager 1返回GET /employees/C(或类似的东西)。如何使用Spring Data REST / Spring实现此目的安全

1 个答案:

答案 0 :(得分:1)

理论上,这可以通过Spring Security ACL实现。来自github的示例项目是here

您也可以按照此帖[{3}}

以不同的方式实现此目的

说完这个,很复杂。 Spring Security和ACL没有很好的记录。如果您需要更多指向此答案的链接,请告诉我们。