摘要:在本文中�����,我們將展示如何根據(jù)中定義的用戶角色過(guò)濾序列化輸出���。請(qǐng)注意,此方法要求我們?cè)谔幚砭哂卸鄠€(gè)角色的用戶時(shí)要小心��。
在本文中�,我們將展示如何根據(jù)Spring Security中定義的用戶角色過(guò)濾JSON序列化輸出。
為什么我們需要過(guò)濾���?
讓我們考慮一個(gè)簡(jiǎn)單但常見(jiàn)的用例����,我們有一個(gè)Web應(yīng)用程序�����,為不同角色的用戶提供服務(wù)�����。例如�,這些角色為User和Admin����。
首先����,讓我們定義一個(gè)要求,即Admin可以完全訪問(wèn)通過(guò)公共REST API公開(kāi)的對(duì)象的內(nèi)部狀態(tài)����。相反,User用戶應(yīng)該只看到一組預(yù)定義的對(duì)象屬性�。
我們將使用Spring Security框架來(lái)防止對(duì)Web應(yīng)用程序資源的未授權(quán)訪問(wèn)。
讓我們定義一個(gè)對(duì)象��,我們將在API中作為REST響應(yīng)返回?cái)?shù)據(jù):
class Item {
private int id;
private String name;
private String ownerName;
// getters
}
當(dāng)然���,我們可以為應(yīng)用程序中的每個(gè)角色定義一個(gè)多帶帶的數(shù)據(jù)傳輸對(duì)象類��。但是�,這種方法會(huì)為我們的代碼庫(kù)引入無(wú)用的重復(fù)或復(fù)雜的類層次結(jié)構(gòu)����。
另一方面,我們可以使用Jackson庫(kù)的JSON View功能�。正如我們將在下一節(jié)中看到的那樣,它使得自定義JSON表示就像在字段上添加注釋一樣簡(jiǎn)單���。
@JsonView注釋
Jackson庫(kù)支持通過(guò)使用@JsonView注解標(biāo)記我們想要包含在JSON表示中的字段來(lái)定義多個(gè)序列化/反序列化上下文�。此注解具有Class類型的必需參數(shù)��,用于區(qū)分上下文�����。
使用@JsonView在我們的類中標(biāo)記字段時(shí)���,我們應(yīng)該記住�����,默認(rèn)情況下����,序列化上下文包括未明確標(biāo)記為視圖一部分的所有屬性��。為了覆蓋此行為�����,我們可以禁用DEFAULT_VIEW_INCLUSION映射器功能。
首先���,讓我們定義一個(gè)帶有一些內(nèi)部類的View類�,我們將它們用作@JsonView注解的參數(shù):
class View {
public static class User {}
public static class Admin extends User {}
}
接下來(lái)����,我們將@JsonView注解添加到我們的類中,使ownerName只能訪問(wèn)admin角色:
@JsonView(View.User.class)
private int id;
@JsonView(View.User.class)
private String name;
@JsonView(View.Admin.class)
private String ownerName;
如何將@JsonView注解與Spring Security 集成
現(xiàn)在�,讓我們添加一個(gè)包含所有角色及其名稱的枚舉。之后����,讓我們介紹JSONView和安全角色之間的映射:
enum Role {
ROLE_USER,
ROLE_ADMIN
}
class View {
public static final Map MAPPING = new HashMap<>();
static {
MAPPING.put(Role.ADMIN, Admin.class);
MAPPING.put(Role.USER, User.class);
}
//...
}
最后,我們來(lái)到了整合的中心點(diǎn)���。為了綁定JSONView和Spring Security角色��,我們需要定義適用于我們應(yīng)用程序中所有控制器方法的控制器��。
到目前為止���,我們唯一需要做的就是覆蓋AbstractMappingJacksonResponseBodyAdvice類的 beforeBodyWriteInternal方法:
@RestControllerAdvice
class SecurityJsonViewControllerAdvice extends AbstractMappingJacksonResponseBodyAdvice {
@Override
protected void beforeBodyWriteInternal(
MappingJacksonValue bodyContainer,
MediaType contentType,
MethodParameter returnType,
ServerHttpRequest request,
ServerHttpResponse response) {
if (SecurityContextHolder.getContext().getAuthentication() != null
&& SecurityContextHolder.getContext().getAuthentication().getAuthorities() != null) {
Collection authorities
= SecurityContextHolder.getContext().getAuthentication().getAuthorities();
List jsonViews = authorities.stream()
.map(GrantedAuthority::getAuthority)
.map(AppConfig.Role::valueOf)
.map(View.MAPPING::get)
.collect(Collectors.toList());
if (jsonViews.size() == 1) {
bodyContainer.setSerializationView(jsonViews.get(0));
return;
}
throw new IllegalArgumentException("Ambiguous @JsonView declaration for roles "
+ authorities.stream()
.map(GrantedAuthority::getAuthority).collect(Collectors.joining(",")));
}
}
}
這樣,我們的應(yīng)用程序的每個(gè)響應(yīng)都將通過(guò)這個(gè)路由,它將根據(jù)我們定義的角色映射找到合適的返回結(jié)果�����。請(qǐng)注意�����,此方法要求我們?cè)谔幚砭哂卸鄠€(gè)角色的用戶時(shí)要小心��。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/73276.html
