Spring Boot 中类似 Twitter 的数据授权?

【问题标题】:Twitter-like data authorization in Spring Boot?Spring Boot 中类似 Twitter 的数据授权?
【发布时间】:2020-12-06 00:57:32
【问题描述】:

我是 Spring Boot 的新手,尤其是 Spring Security。我关注了this 文章并创建了身份验证和授权流程。它使一些端点需要授权。Twitter 做同样的事情。它有一些端点不需要身份验证或授权,但有些需要。

但是对于受保护的帐户,还有另一层授权。例如;如果我通过了身份验证,我可以获取我关注的受保护帐户的关注者列表。但是即使我通过了身份验证,我也无法获取我不关注的受保护帐户的关注者。

我首先想到的是特定的 GET/POST 方法可以搜索他们的追随者/追随者,但这将是一个糟糕的解决方案。我听说过基于声明的授权。我怎样才能给用户非静态的权限?不像 'users:read' 而是 '/user_id/:read'

【问题讨论】:

  • 你可能想看看Spring ACL,这里有一篇关于Spring ACL的文章baeldung.com/spring-security-acl
  • 谢谢!这正是我正在寻找的。​​span>
  • 太好了,我会把它添加为记录的答案

标签: spring spring-boot authentication spring-security authorization


【解决方案1】:

这可以使用 Spring ACL(也称为域对象安全性)来实现。

参考资料:

https://www.baeldung.com/spring-security-acl https://docs.spring.io/spring-security/site/docs/3.0.x/reference/domain-acls.html

【讨论】:

    猜你喜欢
    • 2021-12-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-02-11
    • 2018-02-11
    • 2020-09-27
    • 2018-07-04
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode