我想知道为通用用例定义RESTful服务的正确方法。
我正在编写一个RESTful API来更新当前用户的个人资料。我们应该在请求中发送当前用户的ID吗?这将需要在服务器端进行验证,以便用户只能编辑自己的详细信息。所以我需要添加对用户ID和Principal对象的检查。此外,客户端必须在某处维护当前用户ID。
POST /user/{id}
或者,我可以跳过发送用户ID并从Principal对象获取用户详细信息。我们知道没有像无状态安全 API那样的,它会是正确的方法吗?
我不知道Spring中的任何功能会根据第一种方法的要求为我验证当前用户。如果它存在,请告诉我。
答案 0 :(得分:2)
考虑有权更新其他用户的管理员想要发送更新的情况。在这种情况下,它将是POST /user/{id}。没有理由认为普通用户不应该这样做。
使用Spring Security,您可以在控制器方法上使用@PreAuthorize表达式。它看起来像这样:
@PostMapping("/user/{id}")
@PreAuthorize("hasRole('ADMIN') || (principal.id == #id)")
public User updateUser(@RequestBody User newInfo, @PathVariable Long id) {
...
}