如何保護SpringBoot/Spring-Data Rest，以便用戶只能訪問自己的實體

我在Spring Boot和基本Spring Security中使用Spring-Data/Rest（http://docs.spring.io/spring-data/rest/docs/current/reference/html/）。如何保護SpringBoot/Spring-Data Rest，以便用戶只能訪問自己的實體

我有以下實體。目前有彈簧安置

Items 
    -->ID 

User 
--> ID 
--> List<Items> items

，任何用戶都可以看到/項目/ 1,2,3,4,5

我只想讓用戶，只看到自己的物品。

這是可以實現的，而不必編寫自定義控制器？

來源

2015-11-13 dalcu

是的，你可以。

爲此，您可以爲每個用戶分配一個特定角色。例如，您的情況下，將擁有該項目的用戶分配爲角色列ADMIN以及所有其他匿名或用戶，然後選擇。安全性可以使請求對具有ANONYMOUS或USER角色的用戶失敗，但只允許具有ADMIN角色的用戶查看項目。

現在，這可以通過Spring Security的以多種方式來實現：

1.使用@PreAuthorize標籤爲各個控制器的方法和測試角色ADMIN/USER/.. 但是，我想，你不希望大幅修改控制器。

短手動方式，這一點，以創建認證對象進入上下文保持器，並使用彈簧引導安全性配置，如低於，例如：

@Order(1) 
public class UserFilter extends Filter { 

@Autowired 
UserService userService; 
... 

UserObject userObject = userService.getUser(arg..); 
List<GrantedAuthority> grantedAuthorityList = new ArrayList<GrantedAuthority>(); 
grantedAuthorityList.add(new SimpleGrantedAuthority((userObject.getRoleName()));//Either ROLE_ADMIN or ROLE_USER 
Authentication authentication = new PreAuthenticatedAuthenticationToken(userObject.getId(), new Object(), grantedAuthorityList); 
SecurityContextHolder.getContext().setAuthentication(authentication); 
chain.doFilter(request,response); 

... 

}

而安全配置類：

@Configuration 
    @EnableWebSecurity 
    public class SecurityConfigREST extends WebSecurityConfigurerAdapter { 


    SecurityConfigREST(){ 
    super(true); 
    } 
    @Autowired 
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { 
    PreAuthenticatedAuthenticationProvider pap=new PreAuthenticatedAuthenticationProvider(); 
    pap.setPreAuthenticatedUserDetailsService(new PreAuthenticatedGrantedAuthoritiesUserDetailsService()); 
    auth.authenticationProvider(pap); 
} 
@Override 
    protected void configure(HttpSecurity http) throws Exception { 
    http 
     .authorizeRequests() 
     .regexMatchers("^/items.*$").hasAuthority("ROLE_ADMIN") //The role which should have access to /items/1,2.. URL 
     .anyRequest().authenticated(); 
    } 
    }

使用的UserDetailsService在安全配置上述和負載噸他的用戶及其在預驗證身份驗證提供程序中的角色。參見：http://docs.spring.io/autorepo/docs/spring-security/3.2.2.RELEASE/apidocs/org/springframework/security/core/userdetails/UserDetailsService.html

說了這麼多，它也是一個不錯的設計，不通過的項目（1,2,3）通過URL號碼，如可能導致潛在的問題後，所以使用GET和通過JSON請求身體，因爲它這樣的：

/items RequestMethod.GET 

{ 
"itemList" : [1,2,3,4,5] 
} 

Hope that helps.

來源

2015-11-14 07:19:56

問題是如何限制結果只有屬於用戶的實體。角色沒有任何幫助。我不在乎用戶是管理員還是凡人，他不應該被允許看到屬於他自己的實體。 –

呵呵？它總是很好地將角色附加到你的項目列表或resources.Its一個很好的做法。如果不需要，那麼你可以基於來自JPA倉庫的密鑰迭代：repository.findByUserId（Long userId），它只是簡單的彈簧數據jpa，（沒有彈簧安全性，因此與問題衝突）。此外，在上述聲明中，你自相矛盾，「他不應該被允許看到屬於他自己的實體」..請更正它..謝謝。 –

是的，應該是「那*不*屬於他自己」，但它看起來像SO不允許在一段時間後編輯評論。是的，角色很好，我確實使用它們。但這與問題的情況無關。問題在於spring-data-rest使所有存儲庫在映射'/ {repository}'下可用，允許訪問所有實體。所以問題是如何只返回屬於用戶的實體。 –

我認爲JPA級多租戶可能是spearating用戶可以看到的數據很好的透明的方法。請看我的答案在這裏的詳細信息： https://stackoverflow.com/a/33648305/5371736

來源

2015-11-14 19:19:50

如何保護SpringBoot/Spring-Data Rest，以便用戶只能訪問自己的實體

回答

相關問題