我想知道为通用用例定义RESTful服务的正确方法。
我正在编写RESTful API来更新当前用户的个人资料。我们是否应该在请求中发送当前用户的ID?这将需要在服务器端进行验证,以便用户只能编辑自己的详细信息。因此,我需要在用户ID和Principal对象上添加检查。同样,客户端必须在某处维护当前用户ID。
POST /user/{id}
另外,我可以跳过发送用户ID的操作,并从Principal对象获取用户详细信息。我们知道没有什么比无状态的安全API更好的方法了吗?
我不知道在Spring中有任何功能可以按照第一种方法的要求为我验证当前用户。如果存在,请告诉我。
最佳答案
考虑以下情况:有权更新其他用户的管理员想要发送更新。在这种情况下,应该是POST /user/{id}。对于普通用户,没有理由也不应该如此。
使用Spring Security,可以在控制器方法上使用@PreAuthorize表达式。它看起来像这样:
@PostMapping("/user/{id}")
@PreAuthorize("hasRole('ADMIN') || (principal.id == #id)")
public User updateUser(@RequestBody User newInfo, @PathVariable Long id) {
...
}