温馨提示:本文翻译自stackoverflow.com,查看原文请点击:java - Spring Security
java security spring spring-boot spring-security

java - Spring 安全

发布于 2020-03-27 10:58:50

假设使用Java 8和Spring Boot 2,我有一个像下面这样的最小RESTful控制器...

@RestController
class MyController {

    @Autowired
    private PostService service;    

    @GetMapping
    public Post get() {

        return service.getLatest();
    }
}

我已经使用Spring Security模块成功保护了此路由。现在,我只允许资源所有者访问此资源。对于资源所有者,我的意思是创建者或简单地说:

Post myPost = new Post();
...
myPost.getCreator().equals(currentUser); // Should be true when access is granted

我发现了很多有关基于角色的访问的信息,但几乎没有用于检查所有权的信息……当然,我可以在控制器中放置if语句并抛出异常,但是我打算使用类似Spring的基于表达式的访问控制之类的东西

还有其他想法吗?有人对资源的所有权检查有一个好主意或示例吗?

查看更多

查看更多

提问者
0x1C1B
被浏览
152
分享
Joeri Boons 2019-07-04 17:17

对于简单的get操作,您只需返回链接到当前登录用户的帖子即可

@GetMapping
public Post getPost(Authentication authentication) {
    return service.getPostByUser(authentication.getName());
}

要更新现有帖子,您可以在PreAuthorize中检查创建者是否是登录用户。authentication.getName()在我的示例中返回一封电子邮件

@PutMapping
@PreAuthorize("#post.getCreator() == authentication.getName()")
public void update(@RequestBody Post post, Authentication authentication) {
    service.updatePost(post);
}

@Component方法的基本示例

@Autowired
private CreatorCheck creatorCheck;

@PutMapping
@PreAuthorize("@creatorChecker.check(#post,authentication)")
public void update(@RequestBody Post post, Authentication authentication) {
    service.updatePost(post);
}

和组件。可以扩展以检索原始帖子并检查该创建者。

@Component
public class CreatorCheck {

    public boolean check(Post post, Authentication authentication) {
       return post.getCreator().equals(authentication.getName());
    }
}

有关更全面的教程,请查看0x1C1B找到的教程链接

0x1C1B 2019-07-03 23:03:36

但这意味着客户正在请求中设置帖子的创建者,对吗?如何防止它操纵创作者?假设使用自己的ID授予访问权限...或者对于DELETE请求,没有给出DTO /有效载荷作为参数...

Joeri Boons 2019-07-03 23:19:26

您可以编写另一个@Component公共CreatorChecker类来处理检查。@PreAuthorize(“ @ creatorChecker.check(#post,authentication)”)在此组件中,您从数据库检索帖子并检查创建者service.getPostId()。getCreator()== authentication.getName()那样

0x1C1B 2019-07-04 14:50:08

该组件在哪里使用?作为过滤器链的一部分?这是一个普通的方法吗?我什么都没发现……但是似乎是一个有趣的解决方案

Joeri Boons 2019-07-04 15:47:23

它将与某些默认值(如hasRole('FOO'))以相同的方式进行求值,因为它只是一个需要求值的表达式。 春季文件链接

0x1C1B 2019-07-04 17:00:53

那是我最喜欢的解决方案...我找到了一个有关使用外部组件进行授权的基本示例您可以更新您的答案,以便我接受吗?

热门帖子

1
自己全职做的开源项目: Quill 2.0 发布了!
2
Mac 电池管理 Aldente Pro 无法联网,保护电池果然管用
3
mac 上最好用的 GPT 客户端,强大无比
4
收一个主机
5
有什么比较好的备份相机 RAW 文件的选择吗
6
做了一个简单易用的 App,可提供兑换码,想收集下反馈,感谢大家。
7
AI+Node.js x-crawl 爬虫:为何传统爬虫已不再是数据抓取的首选?
8
96年 一无所有 该学点什么养家糊口了
9
ChatGPT 偷了我两个月的钱
10
前端组件库的正确打开方式是啥,为啥我怎么写都感觉不舒服。。。

相关问题

1
Javascript网站安全
2
OAuth2
3
zsh:未找到匹配项:requests [security]
4
如何保护我的API免受“虚拟”有效载荷的侵害?
5
如何在Mac上删除对Visual Studio的钥匙串访问?
6
我找不到代码示例的Maven依赖项:Keys.hmacShaKeyFor(...);
7
我的wordpress已被黑客入侵,但是黑客做了什么,我该如何防止它/修复已造成的损害
8
如何防止在PHP中进行SQL注入?
9
使用Zapier Webhook触发器访问请求标头
10
当使用CachingHttpClient错误调用不受信任的远程服务器时,Symfony的Prevent RCE

热门github

1
A multi-platform library for OpenGL, OpenGL ES, Vulkan, window and input (翻译:适用于 OpenGL、OpenGL ES、Vulkan、窗口和输入的多平台库)
2
Dev tool that writes scalable apps from scratch while the developer oversees the implementation (翻译:可扩展开发工具的 PoC,该工具从头开始编写整个应用程序,同时开发人员监督实施)
3
shadcn/ui, but for Svelte. ✨ (翻译:shadcn-svelte是shadcn/ui的非官方社区主导的Svelte端口。)
4
The Python Risk Identification Tool for generative AI (PyRIT) is an open access automation framework to empower security professionals and machine learning engineers to proactively find risks in their generative AI systems. (翻译:用于生成式 AI 的 Python 风险识别工具 (PyRIT) 是一个开放式访问自动化框架,使安全专业人员和机器学习工程师能够主动发现其生成式 AI 系统中的风险。)
5
Performance-portable, length-agnostic SIMD with runtime dispatch (翻译:Highway 是一个提供可移植 SIMD/向量内在函数的 C++ 库。)
6
ZK Credo (翻译:ZK信条)
7
OpenCodeInterpreter: Integrating Code Generation with Execution and Refinement (翻译:OpenCodeInterpreter:将代码生成与执行和优化集成)
8
Joplin - the secure note taking and to-do app with synchronisation capabilities for Windows, macOS, Linux, Android and iOS. (翻译:Joplin - 一个开源的笔记和待办事项应用程序,具有Windows,macOS,Linux,Android和iOS的同步功能。)
9
Mamba is a new state space model architecture showing promising performance on information-dense data such as language modeling, where previous subquadratic models fall short of Transformers. It is based on the line of progress on structured state space models, with an efficient hardware-aware design and implementation in the spirit of FlashAttention. (翻译:Mamba 是一种新的状态空间模型架构,在信息密集型数据(例如语言建模)上显示出良好的性能,而之前的二次模型在 Transformers 方面存在不足。它基于结构化状态空间模型的进展,并本着FlashAttention的精神进行高效的硬件感知设计和实现。)
10
This repository contains System Design resources which are useful while preparing for interviews and learning Distributed Systems (翻译:该存储库包含系统设计资源,在准备面试和学习分布式系统时非常有用)
11
Curso para aprender el lenguaje de programación Python desde cero y para principiantes. 75 clases, 37 horas en vídeo, código, proyectos y grupo de chat. Fundamentos, frontend, backend, testing, IA... (翻译:从零开始学习 Python 编程语言的课程,适合初学者)
12
🎓 Path to a free self-taught education in Computer Science! (翻译:🎓计算机科学免费自学教程!)
13
1️⃣🐝🏎️ The One Billion Row Challenge -- A fun exploration of how quickly 1B rows from a text file can be aggregated with Java (翻译:十亿行挑战 —— 使用 Java 对文本文件中的 10 亿行数据进行聚合的有趣探索)
14
A collective list of free APIs (翻译:免费 API 的集合列表)
15
📚 Freely available programming books (翻译:📚 免费提供的编程书籍)