我正在使用oauth安全性处理springboot架构。 我们有授权服务器和资源服务器。 一切正常。
这里我们需要在每次api调用时授权用户。
问题场景是 - 我们使用user1 accesstoken命中了api,但是我们能够使用相同的user1访问令牌获取user2信息。
会降低用户信息的安全性。
那么我们如何处理这种情况呢? 我们需要配置此设置以验证与相应用户的accessstoken?
我们需要像
这样的解决方案user1 accesstoken只能获取user1信息,无法获取user2信息..
谢谢,
Arunraj M
答案 0 :(得分:0)
Spring安全性仅提供方法级权限,例如,如果您有一个名为getAllUsers()的方法,并且对于您创建的用户,您可以访问此方法以获取所有用户详细信息。
如果你想进一步过滤,那么实现JWTtokens,你可以从令牌中获得生成令牌的用户,你可以编写过滤器以获得适当的值