此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Data REST 4.4.0spring-doc.cadn.net.cn

安全

Spring Data REST 与 Spring Security 配合得很好。本节展示了如何使用方法级安全性保护 Spring Data REST 服务的示例。spring-doc.cadn.net.cn

@Pre@Post安全

Spring Data REST 测试套件中的以下示例显示了 Spring Security 的 PreAuthorization 模型(最复杂的安全模型):spring-doc.cadn.net.cn

示例 1.spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/PreAuthorizedOrderRepository.java
@PreAuthorize("hasRole('ROLE_USER')") (1)
public interface PreAuthorizedOrderRepository extends CrudRepository<Order, UUID> {

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	Optional<Order> findById(UUID id);

	@PreAuthorize("hasRole('ROLE_ADMIN')") (2)
	@Override
	void deleteById(UUID aLong);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void delete(Order order);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void deleteAll(Iterable<? extends Order> orders);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void deleteAll();
}
1 此 Spring Security 注释保护整个存储库。Spring Security SPEL 表达式表示主体必须具有ROLE_USER在其角色集合中。
2 要更改方法级别的设置,必须覆盖方法签名并应用 Spring Security 注释。在这种情况下,该方法会覆盖存储库级别的设置,并要求用户具有ROLE_ADMIN以执行 DELETE。

前面的示例显示了一个标准的 Spring Data 存储库定义,扩展了CrudRepository有一些关键的变化:指定特定角色以访问各种方法:spring-doc.cadn.net.cn

存储库和方法级别安全性设置不会合并。相反,方法级别设置会覆盖存储库级别设置。

前面的示例说明了CrudRepository实际上有四种 delete 方法。您必须覆盖所有 delete 方法才能正确保护它。spring-doc.cadn.net.cn

@Secured安全性

以下示例显示了 Spring Security 的旧版@Secured注解,它纯粹是基于角色的:spring-doc.cadn.net.cn

示例 2.spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/SecuredPersonRepository.java
@Secured("ROLE_USER") (1)
@RepositoryRestResource(collectionResourceRel = "people", path = "people")
public interface SecuredPersonRepository extends CrudRepository<Person, UUID> {

	@Secured("ROLE_ADMIN") (2)
	@Override
	void deleteById(UUID aLong);

	@Secured("ROLE_ADMIN")
	@Override
	void delete(Person person);

	@Secured("ROLE_ADMIN")
	@Override
	void deleteAll(Iterable<? extends Person> persons);

	@Secured("ROLE_ADMIN")
	@Override
	void deleteAll();
}
1 这会导致与上一个示例相同的安全检查,但灵活性较低。它只允许角色作为限制访问的方法。
2 同样,这表明 delete 方法需要ROLE_ADMIN.
如果您从新项目开始或首先应用 Spring Security,@PreAuthorize是推荐的解决方案。如果已经将 Spring Security 与@Secured在应用程序的其他部分,您可以继续该路径,而无需重写所有内容。

启用方法级安全性

要配置方法级安全性,以下是 Spring Data REST 测试套件中的简短代码片段:spring-doc.cadn.net.cn

例 3.spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/SecurityConfiguration.java
@Configuration (1)
@EnableWebSecurity
@EnableMethodSecurity(securedEnabled = true, prePostEnabled = true) (2)
class SecurityConfiguration { (3)
	...
}
1 这是一个 Spring 配置类。
2 它使用 Spring Security 的@EnableGlobalMethodSecurityannotation 以启用两者@Secured@Pre/@Post支持。注意:您不必同时使用两者。这种特殊情况用于证明两个版本都可以与 Spring Data REST 一起使用。
3 这个类扩展了 Spring Security 的WebSecurityConfigurerAdapter用于安全性的纯 Java 配置。

配置类的其余部分未列出,因为它遵循您可以在 Spring Security 参考文档中阅读的标准做法spring-doc.cadn.net.cn