个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在重写一个应用程序,这次使用 Spring 的 RESTful 接口(interface)。我认为服务器端授权是最好的。即:
假设用户 1 使用此 REST 存储库。他/她访问 mysite.com/heroes/1 并从英雄表中获取 (id = 1) 英雄。
用户 2 无权查看 (id = 1) 英雄,但可以制作一个 cURL 语句来尝试。我声称服务器应该阻止用户 2 访问 (id = 1) 英雄。
我相信服务器可以提取 JWT 有效负载,为我提供用户名或密码(我将其放在那里)。服务器从该有效负载中获取用户的帐户并知道他/她有权看到哪些英雄。
我已经通过服务和 DAO 类实现了这个目标。然而,我看到 Spring Boot 和 JPA 教程提倡使用 CrudRepository 实现来减少编码。我想知道如何使用这项技术进行过滤。
以下是来自网络的示例:
@RepositoryRestResource(collectionResourceRel = "heroes", path = "heroes")
public interface HeroRepository extends CrudRepository<Hero, Long> {
}
当访问 mysite.com/heroes/1 时,它会自动返回英雄 (id = 1) 的数据。我想指示它让我选择允许哪些 ID 值。也就是说,在运行时通过代码向其提供查询参数。
作为测试,我提供了以下代码:
@RepositoryRestResource(collectionResourceRel = "heroes", path = "heroes")
public interface HeroRepository extends CrudRepository<Hero, Long> {
@Query ("from Hero h where id in (1, 3, 5)")
public Hero get();
}
但是,它不会阻止 mysite.com/heroes/2 返回 (id = 2) 英雄。
如何实现我想要的目标?
谢谢杰罗姆。
更新 5 月 13 日下午 5:50
我的请求被误解了,所以我进一步解释了我的意图。
因此,服务器需要从 JWT token 中提取用户 ID 等,并将其在代码中应用到导致/heroes 查询工作的任何内容。
我的原始示例源自 this tutorial 。其中唯一的 Java 类是 Hero 和 HeroRepository。 DAO、服务或 Controller 没有显式的类。包含的 Spring 库允许所有/heroes 获取发生,无需进一步编码。
再次感谢您的关注和帮助。杰罗姆.
最佳答案
您可以创建一个自定义@Query,它使用登录用户的信息(此处:id)。通过此解决方案,用户只能访问与他具有相同 id 的实体。
@Override
@Query("SELECT h FROM Hero h WHERE h.id=?1 AND h.id=?#{principal.id}")
public Hero findOne(Long id);
您需要为 @Query ( link ) 启用 SpEl 并使用自定义 UserDetails 创建自定义 UserDetailsService ( link ),其中包含用户,因此您可以执行principal.id。
以同样的方式,您应该保护 findAll() 方法。
关于java - Spring Boot 和 JPA 存储库 — 如何按 ID 过滤 GET,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43955406/
25
4
0
我有以下情况要解决,但无法正常工作(尝试了Hibernate和EclipseLink): Table_1: Column_A is Primary Key ... some other
我是 JPA 的新手,但必须在该技术中实现我的项目 我想做的是通过 CriteriaQuery 构建一些数据库查询,但不知道如何将参数列表传递给下面的代码: CriteriaBuilder qb =
我是 JPA 新手,注意到可以通过使用 @Version 注释实体中的字段来使用乐观锁定。我只是好奇,如果之前不存在,持久性提供程序是否会创建一个隐式版本字段。例如网站objectdb状态: "Whe
我有一个 JPA 查询 @Query(value = "SELECT SUM(total_price) FROM ... WHERE ...", nativeQuery = true) 当有匹配的记录
JPA 是否会尝试在已经持久(和非分离)的实体上级联持久化? 为了清楚起见,这是我的情况:我想保留一个新用户: public void addUser(){ //User is an enti
显然,OpenJPA。我也看到提到过 EclipseLink 和 Hibernate,但是在功能上有显着差异吗? 最佳答案 大多数差异来自提供者对 OSGi 的感知程度。例如,您可能需要自己将 Hib
我想将 JPA 用于 micronaut。为此,我使用 io.micronaut.data:micronaut-data-hibernate-jpa:1.0.0.M1 库。每当我运行应用程序并点击端点
我正准备为我的应用实现后端,现在我正在投影数据层。我期待着 Spring 。 最佳答案 Spring Data JPA 不是 JPA 实现。它提供了将数据访问层构建到底层 JPA 顶部的方法。您是否应
假设我有一个表 Item,其中包含一个名为 user_id 的列和一个表 User 以及另一个名为 Superuser 的列: CREATE TABLE Item(id int, user_id in
JPA 2.1 规范说: The entity class must not be final. No methods or persistent instance variables of the
我正在从事一个具有一些不寻常实体关系的项目,我在使用 JPA 时遇到了问题。有两个相关对象;用户,让我们称另一个 X。用户与 X 具有一对多和两个一对一的关系。它基本上看起来像这样 [用户实体] @O
我说的是 JavaEE 中的 JPA。在我读过的一本书中谈到: EntityManager em; em.find(Employee.class, id); “这是实体管理器在数据库中查找实例所需的所
我有 JPA 支持的 Vaadin 应用程序。此应用程序中的组件绑定(bind)到 bean 属性(通过独立的 EL 实现)。一些组件绑定(bind)到外部对象(或其字段),由@OneToOne、@O
是否可以使表中的外键唯一?假设我有实体 A 和 B。 答: @Entity class A extends Serializable { @Id private long id; @OneToOne
我在使用 JPA 时遇到了一点问题。考虑这种情况: 表 A (id_a) | 表 B (id_b, id_a) 我需要的是这样的查询: Select a.*, c.quantity from A as
我有一个由 JPA 管理的实体类,我有一个实体需要在其属性中记录更改。 JPA 是否提供任何方法来处理这种需求? 最佳答案 如果您使用 Hibernate 作为 JPA 提供程序,请查看 Hibern
我想实现以下架构: Table A: a_id (other columns) Table B: b_id (other columns) Table C: c_id (other columns)
我有一个愚蠢的问题。如果能做到的话那就太好了,但我并没有屏住呼吸。 我需要链接到我的 JPA 实体的表中的单个列作为所述 JPA 实体中的集合。有什么方法可以让我单独取回与该实体相关的列,而不必取回整
我有一个 Open JPA 实体,它成功连接了多对多关系。现在我成功地获取了整个表,但我实际上只想要该表中的 ID。我计划稍后调用数据库来重建我需要的实体(根据我的程序流程)。我只需要 ID(或该表中
这是我的一个实体的复合主键。 public class GroupMembershipPK implements Serializable{ private static final long
我是一名优秀的程序员,十分优秀!