एक स्प्रिंग डेटा आरईएसटी प्रोजेक्शन में भूमिका से अभिगम कैसे प्रतिबंधित करें?

Question

स्प्रिंग डाटा जेपीए और स्प्रिंग डाटा बाकी का उपयोग कर एक आवेदन में, मान लीजिए कि आप इस तरह एक इकाई वर्ग डालते हैं:

@Entity 
public class Person { 

    @Id @GeneratedValue 
    private int id; 

    private String name; 

    @JsonIgnore 
    private String superSecretValue; 

    ... 

} 

हम वसंत डाटा बाकी superSecretValue के अलावा इस इकाई के क्षेत्रों के सभी को बेनकाब करना चाहते हैं, और इसलिए हम उस क्षेत्र को @JsonIgnore के साथ एनोटेट किया गया है।

हालांकि, कुछ मामलों में हम superSecretValue पर पहुंच चाहते है, और इसलिए हम एक प्रक्षेपण कि क्षेत्रों के सभी शामिल है कि एक वापस आ जाएगी बनाएँ:

@Projection(name = "withSecret", types = {Person.class}) 
public interface PersonWithSecret { 

    String getName(); 
    String getSuperSecretValue(); 

} 

बहुत बढ़िया। तो अब हमsuperSecretValue क्षेत्र इस तरह सहित Person संस्थाओं पहुँच सकते हैं:

curl http://localhost:8080/persons?projection=withSecret 

मेरा प्रश्न है कि हम कैसे सुरक्षित कर सकते हैं कि प्रक्षेपण? कैसे हम चीजों को इस तरह है कि किसी को Person संस्थाओं superSecretValue क्षेत्र के बिना प्राप्त कर सकते हैं कॉन्फ़िगर कर सकते हैं ... लेकिन केवल एक निश्चित भूमिका (जैसे कि, ROLE_ADMIN) के साथ लोगों को छिपा क्षेत्र को पुनः प्राप्त करने प्रक्षेपण का उपयोग कर सकते हैं?

मैं वसंत डाटा जेपीए भंडार CRUD पद्धति (उदा save(), delete()) को सुरक्षित करने के @PreAuthorize या @Secured टिप्पणियों का उपयोग करने की अंतहीन उदाहरण मिल गया है ... लेकिन कैसे एक स्प्रिंग डाटा बाकी प्रक्षेपण के उपयोग को प्रतिबंधित करने का कोई उदाहरण।

Answer 1

आप सशर्त स्पेल अभिव्यक्तियों के साथ @Value का उपयोग करके अनुमानों में अधिभारों को अधिभारित कर सकते हैं - जैसा कि already answered similar question में है।

1. मॉडल रिफैक्टरिंग:

   अन्य विकल्प (दूसरों के पहले ही उल्लेख किया) पर विचार करें। एक्सेस लॉजिक द्वारा विभाजन इकाई (उदा। Person < ->Account)

2. विशेष तर्क और एक्सेस चेक के लिए कस्टम एंडपॉइंट जोड़ना। उदाहरण के लिए, वर्तमान उपयोगकर्ता "/ people/me" पर।
3. मानक अंतराल को अनुकूलित करना। उदाहरण के लिए, "/ people", "/ people/{id}" के लिए कस्टम नियंत्रक जोड़ें जो उपयोगकर्ता प्राधिकरणों के आधार पर कस्टम Resource प्रकार (डीटीओ) प्रीप्रोसेस और वापस करेगा (उदाहरण के लिए बदले Person)। फिर आप इन प्रकारों के लिए कस्टम लिंक और कस्टम अनुमान जोड़ने के लिए कस्टम संसाधन प्रोसेसर लिख सकते हैं।

यह भी देखें: वसंत-डेटा-आराम DATAREST-428 से इस विषय पर समस्या।

Answer 2

आप इस समाधान की कोशिश कर सकते: https://stackoverflow.com/a/35399030/679240

@Projection(name = "detailed", types = User.class) 
public interface UserDetailProjection extends UserSimpleProjection{ 

    @Value("#{@userService.checkAccess(target)? target.email : null}") 
    public String getEmail(); 
}