我有一些这样的rest api:
/users/{user_id}
/users/{user_id}/orders
/users/{user_id}/orders/{order_id}
我该如何保护它们?每个用户只能看到她/他的数据,但是管理员可以看到所有这些数据。
在Spring Security中,我必须如何实现Id == 1的用户看不到Id == 2的用户数据,反之亦然,希望角色管理员的用户可以看到全部?
我是否在将会话中的每个方法用户ID与传递给api的user_id参数等同之前进行检查?有更好的方法吗?
p.s:我在Spring Security上使用JWT。
答案 0 :(得分:6)
在带有@Controller,@RestController的带注释的bean中,您可以直接将Principal用作方法参数。
@RequestMapping("/users/{user_id}")
public String getUserInfo(@PathVariable("user_id") Long userId, Principal principal){
// test if userId is current principal or principal is an ADMIN
....
}
如果您不希望在Controller中进行安全检查,则可以使用Spring EL表达式。
您可能已经使用了一些内置表达式,例如hasRole([role])。
但您可以编写自己的表达式。
创建一个bean
public class UserSecurity {
public boolean hasUserId(Authentication authentication, Long userId) {
// do your check(s) here
}
}
使用您的表情
http
.authorizeRequests()
.antMatchers("/user/{userId}/**")
.access("@userSecurity.hasUserId(authentication,#userId)")
...
,您可以组合类似
的表达式 hasRole('admin') or @userSecurity.hasUserId(authentication,#userId)
答案 1 :(得分:1)
您应该首先选择安全策略, 您需要将“行过滤”命名为3A的授权概念之一(身份验证,授权,审计)。
如果要实施全面的解决方案,请查看:
https://docs.spring.io/spring-security/site/docs/3.0.x/reference/domain-acls.html
Spring ACL完全涵盖“行过滤”,“白黑名单”,“角色基础授权”,“ ACL继承”,“角色选民”,...等概念。
否则,您应为每个要保护的业务案例保存所有者,并将其过滤到服务层中。
答案 2 :(得分:0)
您还可以在服务界面上使用@PreAuthorize。如果您有一个自定义的userdetails对象,则可以轻松实现。 在我的一个项目中,我这样做是这样的:
@PreAuthorize(value = "hasAuthority('ADMIN')"
+ "or authentication.principal.equals(#post.member) ")
void deletePost(Post post);
顺便说一句,这在服务界面中。您必须确保添加正确的注释才能获得预授权才能工作。
答案 3 :(得分:0)
我们可以创建一个像 @IsUser 这样的注解并将其与控制器方法一起使用。
示例:
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize(value = "hasRole('ROLE_USER')" + "and authentication.principal.equals(#userId) ")
public @interface IsUser { }