저는 Spring MVC로 구현 된 몇 가지 RESTful 서비스를 통해 리소스 세트를 노출했습니다. 이미 HTTPBasicAuthentication 및 HTTPS를 기반으로하는 인증을 사용합니다. 일부 자원은 일부 사용자 만 액세스 할 수 있어야합니다.Spring - RESTful 개인 리소스를 보호하는 방법?
예를 들어 URI /users/{userid}/photos
의 모든 하위 리소스는 사용자 userid
에게만 액세스 할 수 있기를 원합니다. 사실 내 응용 프로그램에서는 모든 인증 된 사용자가 액세스 할 수 있습니다. userid
을 제외한 다른 사용자로부터 어떻게 보호 할 수 있습니까? 그리고이 리소스에 대한 액세스를 일부 사용자 (예 : userid
님의 친구)에게만 허용하려면 어떻게해야합니까?
답변 해 주셔서 감사합니다.하지만 @ Razh의 답변은 더 구체적입니다. 더욱이, RESTful 인 관점에서 볼 때, 어떤 역할 (admin)이 할 수있는 관점에서 보안 컨텍스트로부터 사용자 신원을 공제하는 것이 아니라 사용자 자원을 표현하기 위해'/ resource/{user} '를 갖는 것이 더 정확하다. 이 자원까지도 액세스하십시오. – user1781028