【问题标题】:Where should I validate if user has access to resource? [closed]我应该在哪里验证用户是否有权访问资源? [关闭]
【发布时间】:2019-06-28 20:13:32
【问题描述】:

我正在使用 Java spring 构建一个 Rest API,以保护我已实现基于 JWT 的身份验证的端点。

我设置了一个过滤器,在其中验证令牌并恢复用户和角色。到目前为止,这很好用,但是我不知道应该在哪里根据用户和角色实施授权。

例如: 如果 x 是管理员,他/她可以访问任何端点 如果 y 是 id 为 1 的用户,她/他只能访问她/他的资源;例如/user/1/books。

我倾向于在验证 JWT 的同一过滤器中执行此授权,但是,我必须解析 url 以查找它是否进入正确的端点。另一种可能性是直接在控制器中实现,但我不喜欢这种方法,因为我觉得这会使控制器业务逻辑不堪重负。

感谢和问候

【问题讨论】:

  • 你搜索过什么吗?也许developer.com/security/article.php/3467801/…
  • 是的,我做到了。正如我提到的,我正在考虑在过滤器中实现。不利的一面是,就我而言,我将不得不解析 url。
  • Spring 为这个特定目的构建了一个完整的基础架构。使用@PreAuthorize

标签: java authentication spring-security jwt


【解决方案1】:

由于您标记了“spring-security”,我假设您正在使用它;-)。

您可以使用大量 spring 内置检查来执行您的首选检查。您可以在服务注释中使用 @PreAuthorize @PostAuthorize 和 EL 检查。 我认为 spring 会将它用作额外的过滤器链,但我并不确切知道它。如果检查没有成功处理,spring 会返回一个 4xx 状态码。

@PreAuthorize("@someBean.someCheck(authentication)")
public void yourServiceMethod(...)

(认证对象是spring映射的)

public boolean someCheck(Authentication auth)

另见:

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2012-02-28
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-11-02
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多