共计 2429 个字符,预计需要花费 7 分钟才能阅读完成。
在本文中,我们将展示如何根据 Spring Security 中定义的用户角色过滤 JSON 序列化输出。
为什么我们需要过滤?
让我们考虑一个简单但常见的用例,我们有一个 Web 应用程序,为不同角色的用户提供服务。例如,这些角色为 User 和 Admin。
首先,让我们定义一个要求,即 Admin 可以完全访问通过公共 REST API 公开的对象的内部状态。相反,User 用户应该只看到一组预定义的对象属性。
我们将使用 Spring Security 框架来防止对 Web 应用程序资源的未授权访问。
让我们定义一个对象,我们将在 API 中作为 REST 响应返回数据:
class Item {
private int id;
private String name;
private String ownerName;
// getters
}
当然,我们可以为应用程序中的每个角色定义一个单独的数据传输对象类。但是,这种方法会为我们的代码库引入无用的重复或复杂的类层次结构。
另一方面,我们可以使用 Jackson 库的 JSON View 功能。正如我们将在下一节中看到的那样,它使得自定义 JSON 表示就像在字段上添加注释一样简单。
@JsonView 注释
Jackson 库支持通过使用 @JsonView 注解标记我们想要包含在 JSON 表示中的字段来定义多个序列化 / 反序列化上下文。此注解具有 Class 类型的必需参数,用于区分上下文。
使用 @JsonView 在我们的类中标记字段时,我们应该记住,默认情况下,序列化上下文包括未明确标记为视图一部分的所有属性。为了覆盖此行为,我们可以禁用 DEFAULT_VIEW_INCLUSION 映射器功能。
首先,让我们定义一个带有一些内部类的 View 类,我们将它们用作 @JsonView 注解的参数:
class View {
public static class User {}
public static class Admin extends User {}
}
接下来,我们将 @JsonView 注解添加到我们的类中,使 ownerName 只能访问 admin 角色:
@JsonView(View.User.class)
private int id;
@JsonView(View.User.class)
private String name;
@JsonView(View.Admin.class)
private String ownerName;
如何将 @JsonView 注解与 Spring Security 集成
现在,让我们添加一个包含所有角色及其名称的枚举。之后,让我们介绍 JSONView 和安全角色之间的映射:
enum Role {
ROLE_USER,
ROLE_ADMIN
}
class View {
public static final Map<Role, Class> MAPPING = new HashMap<>();
static {
MAPPING.put(Role.ADMIN, Admin.class);
MAPPING.put(Role.USER, User.class);
}
//…
}
最后,我们来到了整合的中心点。为了绑定 JSONView 和 Spring Security 角色,我们需要定义适用于我们应用程序中所有控制器方法的控制器。
到目前为止,我们唯一需要做的就是覆盖 AbstractMappingJacksonResponseBodyAdvice 类的 beforeBodyWriteInternal 方法:
@RestControllerAdvice
class SecurityJsonViewControllerAdvice extends AbstractMappingJacksonResponseBodyAdvice {
@Override
protected void beforeBodyWriteInternal(
MappingJacksonValue bodyContainer,
MediaType contentType,
MethodParameter returnType,
ServerHttpRequest request,
ServerHttpResponse response) {
if (SecurityContextHolder.getContext().getAuthentication() != null
&& SecurityContextHolder.getContext().getAuthentication().getAuthorities() != null) {
Collection<? extends GrantedAuthority> authorities
= SecurityContextHolder.getContext().getAuthentication().getAuthorities();
List<Class> jsonViews = authorities.stream()
.map(GrantedAuthority::getAuthority)
.map(AppConfig.Role::valueOf)
.map(View.MAPPING::get)
.collect(Collectors.toList());
if (jsonViews.size() == 1) {
bodyContainer.setSerializationView(jsonViews.get(0));
return;
}
throw new IllegalArgumentException(“Ambiguous @JsonView declaration for roles ”
+ authorities.stream()
.map(GrantedAuthority::getAuthority).collect(Collectors.joining(“,”)));
}
}
}
这样,我们的应用程序的每个响应都将通过这个路由,它将根据我们定义的角色映射找到合适的返回结果。请注意,此方法要求我们在处理具有多个角色的用户时要小心。