我有一个通过JWT令牌认证的http端点try
。
我的系统 User1 和 User2 中有两个有效用户。
如何限制User1使用except
端点更新User2的详细信息?
答案 0 :(得分:0)
在您的JWT中,您应该在包含请求用户的用户ID的令牌主体中拥有所有权。在进行编辑之前,您可以检查JWT中的user_id值是否与user1试图编辑的user_id值匹配。如果user_id的不匹配,则拒绝更改。
String userId = getUserIdFromJwt();
if (!userId.equals("some user id")) {
throw new HttpUnauthorizedException("You do not have access to edit" +
"this resource.");
}
您在JWT中拥有有关当前发出请求的用户的所有信息,因此您可以对用户进行断言。
答案 1 :(得分:0)