Wpis z mikrobloga

Skopiuj link

22.01.2019, 18:28:00

Jak w springu najlepiej zabezpieczyć aplikacje webow'a aby każdy user mógł wykonywać tylko swoje akcje np. edytować/usuwać tylko swoje posty? Czy można do tego jakoś użyc spring security czy raczej nie?
#programowanie #java #spring

DaveItsMe

22.01.2019, 18:28:42

@sili: nie wiem ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

P.....k

konto usunięte 22.01.2019, 18:30:08

@sili: można, jak najbardziej

B.....n

konto usunięte 22.01.2019, 18:30:13

@sili: Można sprawdzać kto robi danego requesta. Jakie masz zaimplementowane zabezpieczenia?

J.....d

konto usunięte 22.01.2019, 18:35:16

@sili: przy każdej akcji sprawdzaj kto jest zalogowany i czy ma uprawnienia do usuwania posta

xenonso

22.01.2019, 18:41:35

@sili: Nawet powinieneś tego użyć

sili

22.01.2019, 18:41:37

@Brodeon @JamesBlond Okej, czyli po prostu sprawdzę przez #!$%@?() kto jest zalogowany i na tej podstawie sam zdecyduję czy może wykonać daną akcje.

B.....n

konto usunięte 22.01.2019, 18:46:03

@sili: Tak

Kresse

22.01.2019, 18:59:53

@sili: Jak masz wiecej obiektow domenowych z takim ograniczeniem dostepu, to obczaj ACL: https://www.baeldung.com/spring-security-acl Robi dokladnie to co chcesz. Jak to tylko pojedyncza historia, to pewnie wystarczy cos w stylu @PreAuthorized("@permissionService.canEditPost(#id)") na metodzie. PermissionService implementujesz sobie sam jako bean i mozesz przekazywac do niego wartosci z requesta HTTP (np. #id).

Bruno_

23.01.2019, 00:08:36 via Wykop Mobilny (Android)

@Brodeon: uzyj jwt security, do generowania tokena uzywaj najlepiej id (nie musisz sie potem bawic w usuwanie tokena po zmianie username) w tokenie, potem w controllerze @RequestHeader("Authorization"), robisz sobie statyczna metode gdzies ktora ci ekstraktuje id z tokena i podajesz go dalej do serwisu w ktorym sprawdzasz czy uzytkownik ma dostep

B.....n

konto usunięte 23.01.2019, 11:04:47

@Bruno_: Jak ustawić id usera w tokenie? W #!$%@? mam tylko username

Bruno_

23.01.2019, 19:26:36

@Brodeon: https://github.com/Karolcz125/pBlog/tree/master/src/main/java/pl/karolcz/pBlog/security

B.....n

konto usunięte 23.01.2019, 19:51:02

@Bruno_: Ja chciałem to robić TokenEnchancerem ale to też dobre ( ͡° ͜ʖ ͡°)

B.....n

konto usunięte 23.01.2019, 21:02:56

@Bruno_: Co prawda TokenEnchancer jak teraz sprawdziłem robi co innego ale również przydatną rzecz, tak w oauth2 nie można wbić userId do tokena JWT w oauth2 ( ͡° ʖ̯ ͡°). Widzę że ty masz zwykłą tokenową autoryzację. Miałem tak kiedyś zrobione w projekcie ale przeszedłem na oauth2 ( ͡° ͜ʖ ͡°)

Bruno_

24.01.2019, 00:45:19 via Wykop Mobilny (Android)

@Brodeon: w ogóle to ja chciałem zawołać @sili, nie Ciebie xD dopiero teraz zauważyłem że nie napisałem do opa

Aktywne Wpisy

josb515

josb515 +933

6 godz. i 5 min temu

Rozpocząłem/am poważną naukę języka polskiego.
Dowiedziałem/am się, że w przeciwieństwie do angielskiego litera y jest samogłoską i zrozumiałem/am, dlaczego jest tak wiele zyk, cz, sz, rz. Nauczyłem/am się również, co oznaczają znaki ó, ś, ź, ń. Mam nadzieję, że za miesiąc będę mógł/mogła czytać mikroblogi na Wykopie bez użycia tłumacza.ᕙ(⇀‸↼‶)ᕗ

#nauka #porea #korea