java - Spring data rest findBy securityCheck 用于嵌套实体-6ren

java - Spring data rest findBy securityCheck 用于嵌套实体

转载作者：搜寻专家更新时间：2023-11-01 03:32:10

25

4

我正在为我的 REST 接口(interface)使用 Spring-data-rest，并且我已经在我公开的端点上实现了自定义安全检查。一切正常，但现在我遇到了一些不平凡的场景，我想知道 spring data rest 是否能够解决这个问题。

我有以下模型:

@Entity
public class Cycle {

  @Id
  @GeneratedValue(strategy = GenerationType.AUTO)
  @Column(name = "unique_cycle_id")
  private long id;

  @Column(name = "user_id")
  private long userId;

  ...

  @OneToMany(cascade = CascadeType.ALL)
  @JoinTable(name = "cycles_records", joinColumns = @JoinColumn(name = "unique_cycle_id"),
      inverseJoinColumns = @JoinColumn(name = "unique_record_id"))
  private List<Record> records;
}

@Entity
public class Record {

  @Id
  @GeneratedValue(strategy = GenerationType.AUTO)
  @Column(name = "unique_record_id")
  private long id;

  ...
}

获取周期时，我会检查登录用户是否与我的周期实体中的 userId 具有相同的 ID。

我已经像这样实现了 cystom 安全检查:

@Slf4j
@Component
public class SecurityCheck {

  public boolean check(Record record, Authentication authentication) {
    log.debug("===Security check for record===");
    if (record == null || record.getCycle() == null) {
      return false;
    }

    return Long.toString(record.getCycle().getUserId()).equals(authentication.getName());
  }

  public boolean check(Cycle cycle, Authentication authentication) {
    if (cycle == null) {
      return false;
    }

    return Long.toString(cycle.getUserId()).equals(authentication.getName());
  }
}

但是现在，我正在尝试对记录实现类似的安全检查。因此，在获取给定周期的记录时，我需要检查周期的 userId 是否与身份验证对象中的 ID 匹配。

我的 RecordRepository 上有以下方法:

@Repository
public interface RecordRepository extends JpaRepository<Record, Long> {

      @PreAuthorize("hasRole('ROLE_ADMIN') OR @securityCheck.check(???, authentication)")
      Page<Record> findByCycle_Id(@Param("id") Long id, Pageable pageable);
}

是否可以使用我在此 securityCheck 中使用此方法查询的 id 访问循环内的 userId？如果不是，实现此功能的正确 Spring 方法是什么？

抱歉，我的问题不清楚。如果需要进一步解释，请告诉我。

编辑:我通过访问后过滤器中的返回页面找到了快速而肮脏的解决方案。缺点是当返回的数组为空时，我可以访问不属于我登录用户的记录(所以我仍在寻找一些更优雅的解决方案)

@PostAuthorize("hasRole('ROLE_ADMIN') OR @securityCheck.check(returnObject, authentication)")
Page<Record> findByCycle_Id(@Param("id") Long id, Pageable pageable);

public boolean check(Page<Record> page, Authentication authentication) {
    log.debug("===Security check for page===");
    if (!page.hasContent()) {
      return true;
    }

    long userId = page.getContent().get(0).getCycle().getUserId();

    return Long.toString(userId).equals(authentication.getName());
  }

最佳答案

如果我没理解错的话...

首先，确保SpEL EvaluationContext extension已启用。

然后做这样的事情:

public interface RecordRepository extends JpaRepository<Record, Long> {

    @Query("select r from Record r join r.cycle c where c.id = ?1 and (c.userId = ?#{@RecordRepository.toLong(principal)} or 1 = ?#{hasRole('ROLE_ADMIN') ? 1 : 0})")
    Page<Record> findByCycleId(Long id, Pageable pageable);

    default Long toLong(String name) {
        return Long.valueOf(name);
    }
}

我想 principal 包含 userId 的字符串表示，所以在这里我将它转换为 long 然后比较它们......

你也可以查看我的example与此问题相关...

更新

在 SpEL 表达式中尝试使用 T(java.lang.Long).valueOf(principal) 而不是 @RecordRepository.toLong(principal) 并删除 toLong 来自你的 repo 的方法。

关于java - Spring data rest findBy securityCheck 用于嵌套实体，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/47812031/

25

4

0

文章推荐： java - 列不在 FROM 列表 Java 数据库搜索中的任何表中

文章推荐： ios - Oauth 突然无法在 iphone 上运行(仅安装了 FS 应用程序)

文章推荐： ios - IAP 时无法连接到 iTunes Store 错误

文章推荐： ios - 在闭源 Swift 框架中嵌入框架

css - 嵌套 DIV - 嵌套 DIV 不占用高度？
所以我试图设置“内容”类的高度，但它似乎不起作用。我对嵌套 DIV 非常陌生，我已经尝试了我在谷歌搜索中发现的修复程序，但似乎没有任何效果。帮助？
php - 嵌套 View 中的 Laravel 嵌套 View
好的，所以我一直在四处寻找，但找不到这个问题的答案。但是，我需要将一个 View 嵌套在另一个 View 中。我有一个 $layout 正在使用我拥有的 default.layout Blade 文
php - 嵌套 View 中的 Laravel 嵌套 View
好的，所以我一直在四处寻找，但找不到这个问题的答案。但是，我需要将一个 View 嵌套在另一个 View 中。我有一个 $layout 正在使用我拥有的 default.layout Blade 文
java - 嵌套 <嵌套 :equal> and in combination
基本上，我的问题很简单，但它需要知道 Struts 1.1 并且还活着的人。我尝试构建的伪代码看起来像这样: IF element.method1 = true THEN IF element
java - 为 Excel 嵌套 if 语句编写 Java 嵌套 if 语句？
我正在尝试将 Excel 嵌套 IF 语句转换为代码语言，但我不确定我是否正确执行此操作，希望能得到一些帮助这是Excel语句: =IF(D3="Feather",IF(OR(I3>1000,R3=
javascript - 嵌套 ng-repeat 索引不起作用 ||嵌套 ng-click 不起作用
如果我们创建两个或三个评论并对其进行多次回复，则“有用”链接在单击时会导致问题，它会对具有相同编号的索引执行 ng-click 操作，从而显示具有相同索引的所有文本。如何解决此嵌套问题，以便在单击链接
java - 将 Scala 嵌套 Map 转换为 Java 嵌套 util.Map
我在项目中使用Scala，想与Stripe集成，但它只提供Java API。例如，要创建 session ，我使用: val params = new util.HashMap[String, Any
使用 CSS 类时，嵌套 Div 中的 HTML 嵌套 Div 不显示
以下代码有一个 Div，其中连续包含四个较小的 Div。四个 Div 中的每一个还包含一个较小的 Div，但此 Div 未显示。我尝试了各种显示和位置组合，看看 div 是否会出现。 classGoa
嵌套 for 循环的大时间复杂度
我在这里有一个问题，循环是: for (i=0; i < n; ++i) for (j = 3; j < n; ++j) { ...
python :嵌套
我正在尝试编写代码来显示具有奇数宽度的形状。形状完成后，将其放置在外部形状内。用户将能够输入用于形状的字符和行数。我希望生成一个形状，并通过 for 循环生成一个外部形状。 ***** .
jquery 嵌套 .each
$(".globalTabs").each(function(){ var $globalTabs = $(this); var parent = $globalTabs.parent
嵌套 for 循环的复杂性
关闭。此题需要details or clarity 。目前不接受答案。想要改进这个问题吗？通过 editing this post 添加详细信息并澄清问题. 已关闭 9 年前。 Improve th
嵌套 While 循环的算法复杂度
所以我在这个问题上遇到了一些麻烦，因为变量 i。我只是不确定在第二个 while 循环中如何处理它。对于我的外循环，我知道它将运行 log_4(n^2) 次迭代。对于内部 while 循环，我计算的迭
JSON Schema 嵌套 If Then
我似乎找不到在枚举上应用多个 if/then 逻辑的工作方式。 anyOf 不应用条件逻辑，而是表示如果其中任何一个匹配则很好。 allOf 再次不应用条件逻辑，而是测试属性/必填字段的超集。这是一
Haskell(嵌套)ReaderT
如何访问 ReaderT 的内部 monad。在我的例子中，我有类型: newtype VCSSetupAction a = VCSSetupAction (ReaderT (Maybe VCSCo
excel - 嵌套 IF 以用零填充数字
这个问题在这里已经有了答案: Add leading zeroes/0's to existing Excel values to certain length (7 个回答) 7年前关闭。我正在寻
Excel 嵌套 IF 函数与 AND/OR
我已经绑定(bind)了很多 AND/OR 函数的组合并且没有运气。这是我需要创建的: 在 B 列中，我有公司 ID，范围从两个数字字符到六个数字字符。我需要在 B 列中的每个公司 ID 之前的每
vba - 嵌套 If 语句有问题
我是 VBA 新手，在尝试编写的宏中使用 If 语句时遇到了一些困难。每个月我都会收到一份 Excel 报告，其中列出了我们公司的哪些员工执行了某些任务。我正在编写的宏旨在将每个员工的数据复制并粘贴到
excel - 嵌套 IF 语句
如果在 B 列中找到单元格 A1 中的值，则使用文本 321 填充除非在 C 列中找到单元格 A1 中的值，在这种情况下填充文本 121反而。如果单元格 A1 的内容不在 B 列或 C 列中，则使用
Excel:嵌套 if 语句不删除第二个条件中的空格
我有几十万个地址。其中一些在整数之后有粒子。如 4356 A Horse Avenue , 其他格式正常4358 Horse Avenue .有些有“A”，有些有“B”。我正在尝试删除整数和粒子之间的

首页

博学

6Ren·AI

商城

java - Spring data rest findBy securityCheck 用于嵌套实体