REST - 发送用户ID与从Principal获取用户ID

时间:2016-07-13 05:44:14

标签: java spring rest spring-security

我想知道为通用用例定义RESTful服务的正确方法。

我正在编写一个RESTful API来更新当前用户的个人资料。我们应该在请求中发送当前用户的ID吗?这将需要在服务器端进行验证,以便用户只能编辑自己的详细信息。所以我需要添加对用户ID和Principal对象的检查。此外,客户端必须在某处维护当前用户ID。

POST /user/{id}

或者,我可以跳过发送用户ID并从Principal对象获取用户详细信息。我们知道没有像无状态安全 API那样的,它会是正确的方法吗?

我不知道Spring中的任何功能会根据第一种方法的要求为我验证当前用户。如果它存在,请告诉我。

1 个答案:

答案 0 :(得分:2)

考虑有权更新其他用户的管理员想要发送更新的情况。在这种情况下,它将是POST /user/{id}。没有理由认为普通用户不应该这样做。

使用Spring Security,您可以在控制器方法上使用@PreAuthorize表达式。它看起来像这样:

@PostMapping("/user/{id}")
@PreAuthorize("hasRole('ADMIN') || (principal.id == #id)")
public User updateUser(@RequestBody User newInfo, @PathVariable Long id) {
    ...
}