此版本仍在开发中,尚不被认为是稳定的。对于最新的稳定版本,请使用 Spring Data REST 4.5.3spring-doc.cadn.net.cn

安全

Spring Data REST 与 Spring Security 配合得很好。本节显示了如何使用方法级安全性保护 Spring Data REST 服务的示例。spring-doc.cadn.net.cn

@Pre@Post安全

以下示例来自 Spring Data REST 的测试套件,显示了 Spring Security 的 PreAuthorization 模型(最复杂的安全模型):spring-doc.cadn.net.cn

示例 1.spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/PreAuthorizedOrderRepository.java
@PreAuthorize("hasRole('ROLE_USER')") (1)
public interface PreAuthorizedOrderRepository extends CrudRepository<Order, UUID> {

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	Optional<Order> findById(UUID id);

	@PreAuthorize("hasRole('ROLE_ADMIN')") (2)
	@Override
	void deleteById(UUID aLong);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void delete(Order order);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void deleteAll(Iterable<? extends Order> orders);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void deleteAll();
}
1 此 Spring Security 注释保护整个存储库。Spring Security SpEL 表达式指示主体必须具有ROLE_USER在其角色集合中。
2 要更改方法级设置,您必须覆盖方法签名并应用 Spring Security 注释。在这种情况下,该方法会根据用户具有的要求覆盖存储库级设置ROLE_ADMIN以执行删除。

前面的示例显示了扩展CrudRepository有一些关键变化:指定访问各种方法的特定角色:spring-doc.cadn.net.cn

存储库和方法级别安全设置不会组合。相反,方法级设置会覆盖存储库级设置。

前面的例子说明了CrudRepository,其实有四种删除方法。必须覆盖所有删除方法才能正确保护它。spring-doc.cadn.net.cn

@Secured安全

以下示例显示了 Spring Security 的旧版@Secured注释,纯粹基于角色:spring-doc.cadn.net.cn

示例 2.spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/SecuredPersonRepository.java
@Secured("ROLE_USER") (1)
@RepositoryRestResource(collectionResourceRel = "people", path = "people")
public interface SecuredPersonRepository extends CrudRepository<Person, UUID> {

	@Secured("ROLE_ADMIN") (2)
	@Override
	void deleteById(UUID aLong);

	@Secured("ROLE_ADMIN")
	@Override
	void delete(Person person);

	@Secured("ROLE_ADMIN")
	@Override
	void deleteAll(Iterable<? extends Person> persons);

	@Secured("ROLE_ADMIN")
	@Override
	void deleteAll();
}
1 这会导致与上一个示例相同的安全检查,但灵活性较低。它只允许角色作为限制访问的手段。
2 同样,这表明删除方法需要ROLE_ADMIN.
如果您从一个新项目开始或首先应用 Spring Security,@PreAuthorize是推荐的解决方案。如果已经在使用 Spring Security@Secured在应用的其他部分,您可以继续沿着该路径前进,而无需重写所有内容。

启用方法级安全性

要配置方法级安全性,以下是 Spring Data REST 测试套件中的简短片段:spring-doc.cadn.net.cn

示例 3.spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/SecurityConfiguration.java
@Configuration (1)
@EnableWebSecurity
@EnableMethodSecurity(securedEnabled = true, prePostEnabled = true) (2)
class SecurityConfiguration { (3)
	...
}
1 这是一个 Spring 配置类。
2 它使用 Spring Security 的@EnableGlobalMethodSecurity注释以同时启用两者@Secured@Pre/@Post支持。注意:您不必同时使用两者。这个特殊情况用于证明这两个版本都适用于 Spring Data REST。
3 此类扩展了 Spring Security 的WebSecurityConfigurerAdapter用于纯 Java 安全配置。

配置类的其余部分未列出,因为它遵循您可以在 Spring Security 参考文档中阅读的标准实践spring-doc.cadn.net.cn