问题描述
我是Spring Boot的新手,尤其是Spring Security。我按照this的文章进行操作,并创建了身份验证和授权流程。它使某些端点需要授权.Twitter也做同样的事情。它具有一些不需要身份验证或授权的端点,但是有些则不需要。
但是对于受保护的帐户,还有另一层授权。例如;如果我已通过身份验证,则可以获取我关注的受保护帐户的关注者列表。但是,即使我通过了身份验证,也无法获取我不关注的受保护帐户的关注者。
首先想到的是,特定的GET / POST方法可以搜索其关注者/跟随者,但这将是一个糟糕的解决方案。我听说过基于索赔的授权。我如何赋予用户非静态的权限?不像'users:read',而是'/ user_id /:read'
解决方法
这可以通过使用Spring ACL(也称为域对象安全性)来实现。
参考文献:
https://www.baeldung.com/spring-security-acl https://docs.spring.io/spring-security/site/docs/3.0.x/reference/domain-acls.html