那些遇到过的问题

@PreAuthorize对JpaRepository

Eth*_*son 3 spring spring-security spring-data-jpa spring-data-rest

我希望为我的REST服务实现基于角色的安全性.我正在使用spring-data-rest并已配置JpaRepository如下:

@Repository
@RestResource(path = "changesets", rel = "changesets")
public interface ChangesetRepository extends JpaRepository<Changeset, Long> { }
Run Code Online (Sandbox Code Playgroud)

我想@PreAuthorize在继承的Page<T> findAll(Pageable pageable)方法上附加一个注释,以便GET需要一个特定的角色.

有没有办法做到这一点?我需要提供自定义实现还是我遗漏了一些明显的东西?

Mak*_*das 7

您可以为所有存储库添加自己的父类(请参阅文档中的操作方法).然后只需添加所有必要的注释,您的安全限制将适用于所有子bean.

从架构的角度来看,大多数情况下,存储库不是应用安全限制的正确位置.您的服务层更合适(因为您的安全限制取决于您的业务操作,而不取决于您的数据加载逻辑).请考虑以下示例:您希望在许多服务中重用相同的存储库,并且安全规则不同(对于这些服务).该怎么办?

Sta*_*007 5

如果您使用的是 Spring Data REST,那么您的想法是合理的。在您的接口类中,只需重新定义相同的方法并@PreAuthorize为其添加注释。代码应该是这样的,虽然我没测试过

@Repository
@RestResource(path = "changesets", rel = "changesets")
public interface ChangesetRepository extends JpaRepository<Changeset, Long> { 

@PreAuthorize("#pk == authentication.id") 
Page<Changeset> findAll(Pageable pageable);

}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1555 次

最近记录:

11 年,9 月 前
相关归档
Spring MVC中的@RequestParam处理可选参数 165
Spring vs Java EE 7 38
Java Spring - 如何使用classpath指定文件位置? 33
RedisCacheManager不更新keyspace_misses 16
如何在Javascript中访问模型属性 15
Spring-Security 3.1 java.lang.ClassNotFoundException:org.springframework.security.taglibs.authz.AuthorizeTag 10
Spring Cache不适用于抽象类 10
Spring @Transactional and @Async 7
春天安全的ajax 5
JSF - 基于角色的页面显示 4
难疑归档
什么是正确的JSON内容类型? 9962
在C#中将int转换为枚举 3015
什么是依赖注入? 2984
finally块总是在Java中执行吗? 2281
单击div到底层元素 1500
如何在Javascript中的数组开头添加新的数组元素? 1476
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
查找包含具有指定名称的列的所有表 - MS SQL Server 1090
获取Android上的当前时间和日期 1058
如何旋转Android模拟器显示? 1031