«1. Обзор
В этом кратком руководстве мы покажем, как фильтровать выходные данные сериализации JSON в зависимости от роли пользователя, определенной в Spring Security.
2. Зачем нужна фильтрация?
Давайте рассмотрим простой, но распространенный вариант использования, когда у нас есть веб-приложение, которое обслуживает пользователей с разными ролями. Например, пусть эти роли будут User и Admin.
Для начала давайте определим требование, чтобы администраторы имели полный доступ к внутреннему состоянию объектов, предоставляемых через общедоступный REST API. Напротив, Пользователи должны видеть только предопределенный набор свойств объектов.
Мы будем использовать платформу Spring Security для предотвращения несанкционированного доступа к ресурсам веб-приложений.
Давайте определим объект, который мы будем возвращать в качестве полезной нагрузки ответа REST в нашем API:
class Item {
private int id;
private String name;
private String ownerName;
// getters
}
Конечно, мы могли бы определить отдельный класс объекта передачи данных для каждой роли, присутствующей в нашем API. применение. Однако такой подход привнесет в нашу кодовую базу бесполезные дублирования или сложные иерархии классов.
С другой стороны, мы можем использовать функцию представления JSON из библиотеки Джексона. Как мы увидим в следующем разделе, настроить представление JSON так же просто, как добавить аннотацию к полю.
3. Аннотация @JsonView
Библиотека Джексона поддерживает определение нескольких контекстов сериализации/десериализации, помечая поля, которые мы хотим включить в представление JSON, с помощью аннотации @JsonView. Эта аннотация имеет обязательный параметр типа класса, который используется для разделения контекстов.
Отмечая поля в нашем классе с помощью @JsonView, мы должны помнить, что по умолчанию контекст сериализации включает все свойства, которые явно не помечены как часть представления. Чтобы переопределить это поведение, мы можем отключить функцию сопоставления DEFAULT_VIEW_INCLUSION.
Во-первых, давайте определим класс View с некоторыми внутренними классами, которые мы будем использовать в качестве аргумента для аннотации @JsonView:
class View {
public static class User {}
public static class Admin extends User {}
}
Затем мы добавим аннотации @JsonView в наш класс, сделать ownerName доступным только для роли администратора:
@JsonView(View.User.class)
private int id;
@JsonView(View.User.class)
private String name;
@JsonView(View.Admin.class)
private String ownerName;
4. Как интегрировать аннотацию @JsonView со Spring Security
Теперь давайте добавим перечисление, содержащее все роли и их имена. После этого давайте представим сопоставление между представлениями JSON и ролями безопасности:
enum Role {
ROLE_USER,
ROLE_ADMIN
}
class View {
public static final Map<Role, Class> MAPPING = new HashMap<>();
static {
MAPPING.put(Role.ADMIN, Admin.class);
MAPPING.put(Role.USER, User.class);
}
//...
}
Наконец, мы подошли к центральному моменту нашей интеграции. Чтобы связать представления JSON и роли Spring Security, нам нужно определить рекомендации контроллера, которые применяются ко всем методам контроллера в нашем приложении.
И пока нам нужно только переопределить метод beforeBodyWriteInternal класса AbstractMappingJacksonResponseBodyAdvice:
@RestControllerAdvice
class SecurityJsonViewControllerAdvice extends AbstractMappingJacksonResponseBodyAdvice {
@Override
protected void beforeBodyWriteInternal(
MappingJacksonValue bodyContainer,
MediaType contentType,
MethodParameter returnType,
ServerHttpRequest request,
ServerHttpResponse response) {
if (SecurityContextHolder.getContext().getAuthentication() != null
&& SecurityContextHolder.getContext().getAuthentication().getAuthorities() != null) {
Collection<? extends GrantedAuthority> authorities
= SecurityContextHolder.getContext().getAuthentication().getAuthorities();
List<Class> jsonViews = authorities.stream()
.map(GrantedAuthority::getAuthority)
.map(AppConfig.Role::valueOf)
.map(View.MAPPING::get)
.collect(Collectors.toList());
if (jsonViews.size() == 1) {
bodyContainer.setSerializationView(jsonViews.get(0));
return;
}
throw new IllegalArgumentException("Ambiguous @JsonView declaration for roles "
+ authorities.stream()
.map(GrantedAuthority::getAuthority).collect(Collectors.joining(",")));
}
}
}
Таким образом, каждый ответ нашего приложения будет проходить через этот совет, и оно найдет соответствующее представление представления в соответствии с определенным нами сопоставлением ролей. Обратите внимание, что этот подход требует от нас осторожности при работе с пользователями с несколькими ролями.
5. Заключение
В этом кратком руководстве мы узнали, как фильтровать вывод JSON в веб-приложении на основе роли Spring Security.
Весь соответствующий код можно найти на Github.