假设您有一个User
资源。它有很多领域。但是,并非所有字段都应允许普通用户更新,但应允许管理员更新。有没有通用的解决方案?
例如如果授权用户是管理员,则应仅允许使用 PUT
请求更新 enabled
。我该怎么做?
最佳答案
你听说过 spring-security 授权吗?他们有一种根据用户角色隐藏字段的方法。如果您的应用程序很大,那么集成它是有意义的。
- 查找方法级安全性
- 域对象安全 (ACL)
关于java - 如果未在 REST-ful API 中授权,则限制对字段的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21612706/