Spring Boot 中类似 Twitter 的数据授权?
Twitter-like data authorization in Spring Boot?
我在 Spring 引导方面非常陌生,尤其是在 Spring 安全方面。我按照 this 文章创建了身份验证和授权流程。它使一些端点需要 authorization.Twitter 做同样的事情。它有一些端点不需要身份验证或授权,但有些需要。
但是对于受保护的帐户,还有另一层授权。例如;如果我通过了身份验证,我可以获取我关注的受保护帐户的关注者列表。但是即使我通过了身份验证,我也无法获取我不关注的受保护帐户的关注者。
我首先想到的是特定的 GET/POST 方法可以搜索他们的 followers/followings,但那将是一个糟糕的解决方案。我听说过基于声明的授权。我怎样才能给用户权限不是静态的?不像 'users:read' 而是 '/user_id/:read'
这可以使用 Spring ACL,也就是域对象安全来实现。
参考资料:
https://www.baeldung.com/spring-security-acl
https://docs.spring.io/spring-security/site/docs/3.0.x/reference/domain-acls.html
我在 Spring 引导方面非常陌生,尤其是在 Spring 安全方面。我按照 this 文章创建了身份验证和授权流程。它使一些端点需要 authorization.Twitter 做同样的事情。它有一些端点不需要身份验证或授权,但有些需要。
但是对于受保护的帐户,还有另一层授权。例如;如果我通过了身份验证,我可以获取我关注的受保护帐户的关注者列表。但是即使我通过了身份验证,我也无法获取我不关注的受保护帐户的关注者。
我首先想到的是特定的 GET/POST 方法可以搜索他们的 followers/followings,但那将是一个糟糕的解决方案。我听说过基于声明的授权。我怎样才能给用户权限不是静态的?不像 'users:read' 而是 '/user_id/:read'
这可以使用 Spring ACL,也就是域对象安全来实现。
参考资料:
https://www.baeldung.com/spring-security-acl https://docs.spring.io/spring-security/site/docs/3.0.x/reference/domain-acls.html