«Фильтрация вывода Jackson JSON на основе роли безопасности Spring»

«1. Обзор

В этом кратком руководстве мы покажем, как фильтровать выходные данные сериализации JSON в зависимости от роли пользователя, определенной в Spring Security.

2. Зачем нужна фильтрация?

Давайте рассмотрим простой, но распространенный вариант использования, когда у нас есть веб-приложение, которое обслуживает пользователей с разными ролями. Например, пусть эти роли будут User и Admin.

Для начала давайте определим требование, чтобы администраторы имели полный доступ к внутреннему состоянию объектов, предоставляемых через общедоступный REST API. Напротив, Пользователи должны видеть только предопределенный набор свойств объектов.

Мы будем использовать платформу Spring Security для предотвращения несанкционированного доступа к ресурсам веб-приложений.

Давайте определим объект, который мы будем возвращать в качестве полезной нагрузки ответа REST в нашем API:

class Item {
    private int id;
    private String name;
    private String ownerName;

    // getters
}

Конечно, мы могли бы определить отдельный класс объекта передачи данных для каждой роли, присутствующей в нашем API. применение. Однако такой подход привнесет в нашу кодовую базу бесполезные дублирования или сложные иерархии классов.

С другой стороны, мы можем использовать функцию представления JSON из библиотеки Джексона. Как мы увидим в следующем разделе, настроить представление JSON так же просто, как добавить аннотацию к полю.

3. Аннотация @JsonView

Библиотека Джексона поддерживает определение нескольких контекстов сериализации/десериализации, помечая поля, которые мы хотим включить в представление JSON, с помощью аннотации @JsonView. Эта аннотация имеет обязательный параметр типа класса, который используется для разделения контекстов.

Отмечая поля в нашем классе с помощью @JsonView, мы должны помнить, что по умолчанию контекст сериализации включает все свойства, которые явно не помечены как часть представления. Чтобы переопределить это поведение, мы можем отключить функцию сопоставления DEFAULT_VIEW_INCLUSION.

Во-первых, давайте определим класс View с некоторыми внутренними классами, которые мы будем использовать в качестве аргумента для аннотации @JsonView:

class View {
    public static class User {}
    public static class Admin extends User {}
}

Затем мы добавим аннотации @JsonView в наш класс, сделать ownerName доступным только для роли администратора:

@JsonView(View.User.class)
private int id;
@JsonView(View.User.class)
private String name;
@JsonView(View.Admin.class)
private String ownerName;

4. Как интегрировать аннотацию @JsonView со Spring Security

Теперь давайте добавим перечисление, содержащее все роли и их имена. После этого давайте представим сопоставление между представлениями JSON и ролями безопасности:

enum Role {
    ROLE_USER,
    ROLE_ADMIN
}

class View {

    public static final Map<Role, Class> MAPPING = new HashMap<>();

    static {
        MAPPING.put(Role.ADMIN, Admin.class);
        MAPPING.put(Role.USER, User.class);
    }

    //...
}

Наконец, мы подошли к центральному моменту нашей интеграции. Чтобы связать представления JSON и роли Spring Security, нам нужно определить рекомендации контроллера, которые применяются ко всем методам контроллера в нашем приложении.

И пока нам нужно только переопределить метод beforeBodyWriteInternal класса AbstractMappingJacksonResponseBodyAdvice:

@RestControllerAdvice
class SecurityJsonViewControllerAdvice extends AbstractMappingJacksonResponseBodyAdvice {

    @Override
    protected void beforeBodyWriteInternal(
      MappingJacksonValue bodyContainer,
      MediaType contentType,
      MethodParameter returnType,
      ServerHttpRequest request,
      ServerHttpResponse response) {
        if (SecurityContextHolder.getContext().getAuthentication() != null
          && SecurityContextHolder.getContext().getAuthentication().getAuthorities() != null) {
            Collection<? extends GrantedAuthority> authorities
              = SecurityContextHolder.getContext().getAuthentication().getAuthorities();
            List<Class> jsonViews = authorities.stream()
              .map(GrantedAuthority::getAuthority)
              .map(AppConfig.Role::valueOf)
              .map(View.MAPPING::get)
              .collect(Collectors.toList());
            if (jsonViews.size() == 1) {
                bodyContainer.setSerializationView(jsonViews.get(0));
                return;
            }
            throw new IllegalArgumentException("Ambiguous @JsonView declaration for roles "
              + authorities.stream()
              .map(GrantedAuthority::getAuthority).collect(Collectors.joining(",")));
        }
    }
}

Таким образом, каждый ответ нашего приложения будет проходить через этот совет, и оно найдет соответствующее представление представления в соответствии с определенным нами сопоставлением ролей. Обратите внимание, что этот подход требует от нас осторожности при работе с пользователями с несколькими ролями.

5. Заключение

В этом кратком руководстве мы узнали, как фильтровать вывод JSON в веб-приложении на основе роли Spring Security.

Весь соответствующий код можно найти на Github.