gpt4 book ai didi

java - REST - 发送用户 ID 与从 Principal 获取用户 ID

转载 作者:搜寻专家 更新时间:2023-11-01 03:18:45 28 4
gpt4 key购买 nike

我想知道为通用用例定义 RESTful 服务的正确方法。

我正在编写一个 RESTful API 来更新当前用户的个人资料。我们应该在请求中发送当前用户的 ID 吗?这将需要在服务器端进行验证,以便用户只能编辑自己的详细信息。所以我需要添加对用户 ID 和主体对象的检查。此外,客户端必须在某处维护当前用户 ID。

POST /user/{id}

或者,我可以跳过发送用户 ID 并从 Principal 对象中获取用户详细信息。据我们所知,无状态安全 API 是不存在的,这是正确的方法吗?

我不知道 Spring 中有任何功能可以按照第一种方法的要求为我验证当前用户。如果存在,请告诉我。

最佳答案

考虑这样一种情况:有权更新其他用户的管理员想要发送更新。在这种情况下,它将是 POST/user/{id}。普通用户没有理由不这样做。

借助 Spring Security,您可以在 Controller 方法上使用 @PreAuthorize 表达式。它看起来像这样:

@PostMapping("/user/{id}")
@PreAuthorize("hasRole('ADMIN') || (principal.id == #id)")
public User updateUser(@RequestBody User newInfo, @PathVariable Long id) {
...
}

关于java - REST - 发送用户 ID 与从 Principal 获取用户 ID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38343493/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com