我有一些使用Spring MVC实现的RESTful服务,暴露了一组资源。我已经使用基于HTTPBasicAuthentication和HTTPS的身份验证。其中某些资源必须只能由某些用户访问。
例如,我想要在URI /users/{userid}/photos 中的所有子资源仅可由用户userid访问。实际上,在我的应用程序中,它们可以被所有经过身份验证的用户访问。如何保护它们不被除userid以外的其他用户访问?
如果我想要将此资源仅允许特定的一些用户(例如userid的朋友)访问,该怎么做?
您可以在您的方法中像这样做:
@ResponseBody
@RequestMapping(value = "/users/{userid}/photos", method = RequestMethod.GET)
@Secured(value = {"userid"})
public ResponseEntity<ModelMap> getPhotos(....) throws Exception {
@Secured(value = {"ROLE_ADMIN", "userid"})
您可以使用自定义的安全表达式。
<security:intercept-url pattern="/users/{userid}/photos" access="getUserIdUrlPathParameter() == principal.userId"/>
请参考此篇文章了解如何操作。
我通过使用@PreAuthorize("authentication.name == #userId")解决了问题,而不是像建议的那样使用@Secured(value = {"userid"})或@Secured(value = {"#userid"}),因为它们无法正常工作。
请注意,在servlet上下文配置文件中添加<security:global-method-security pre-post-annotations="enabled"/>是必要的。
--
我认为您不需要将URL /resource/{user}限制为特定用户。您应该从安全上下文中推断出用户名,而不是让某人通过伪造URL注入特定的用户名...
/resource/{user}来表示用户资源更加正确,而不是从安全上下文中推断用户身份,也考虑到某些角色(例如管理员)可以访问这些资源。 - user1781028
<security:global-method-security secured-annotations="enabled" />以启用安全注释。 - user1781028@Secured注解中指定像"userid"这样的值吗?我无法让它工作,并且在我找到的所有示例中,它都用于指定角色,例如@Secured({ROLE_ADMIN})。 - user1781028