如何允许用户仅在Spring BootSpring Security中访问自己的数据？

如何允许用户仅在Spring Boot / Spring Security中访问自己的数据？

在任何

@Controller

，

@RestController

注解豆你可以使用

Principal

直接作为方法的参数。

    @RequestMapping("/users/{user_id}")    public String getUserInfo(@PathVariable("user_id") Long userId, Principal principal){        // test if userId is current principal or principal is an ADMIN        ....    }

如果您不想在中进行安全检查，则

Controller

可以使用 Spring EL
表达式。您可能已经使用了一些内置表达式，例如

hasRole([role])

。

您可以编写自己的表达式。

1. 创建一个

   bean

   public class UserSecurity {     public boolean hasUserId(Authentication authentication, Long userId) {        // do your check(s) here    }}

2. 用你的表情

   http .authorizeRequests() .antMatchers("/user/{userId}/**")      .access("@userSecurity.hasUserId(authentication,#userId)")    ...

令人高兴的是，您还可以组合以下表达式：

    hasRole('admin') or @userSecurity.hasUserId(authentication,#userId)