REST服务只返回当前用户相关资源

Question

我有一个使用Spring MVC（RestControllers）和基于令牌的安全性（使用Spring Security）实现的REST服务。我如何根据用户身份过滤资源？假设用户有一些报告。我如何让授权用户通过拨打电话/报告只能看到他的报告？

很明显，我可以让userId成为请求参数或路径变量，但是有些东西告诉我这是一个不好的做法。

我假设我可以实现使用Spring Security功能，但我该如何做到这一点，更重要的是，在哪里最适合应用此类过滤？控制器应该通过用户身份执行对服务的调用，还是应该以某种方式在存储库级别检索（我使用Spring Data JPA）？ 在此先感谢

Answer 1

你有Authentication对象每当用户成功登录。 它包含Object principalObject credentials和Set authorities。

您只需要覆盖UserDetailsService即可为您的已验证用户添加新参数。在身份验证添加您的userid shown in blog

现在，当你做

SecurityContextHolder.getContext（）。getAuthentication（）。getPrincipal（） 这将返回弹簧安全的用户对象。 您可以从这里获取用户标识，并在控制器中使用它来执行必要的操作。