当我有两种类型的用户时,如何使用spring安全来保护rest api
当我有两种类型的用户时,如何使用spring安全来保护rest api
提问于 2020-07-26 22:41:26
我有两个实体:教师和学生。我想让一些端点只对教师可用,而另一些端点则对学生可用。我认为最简单的方法是使用spring secure (或者我也应该使用JWT?)但我不确定我是否能很好地理解教程。我的想法是:
创建两个UserServiceDetails (TeacherServiceDetails连接到Teacher JPA存储库,同样用于学生)和两个扩展WebSecurityConfigureAdapter的类。这足够了吗?我如何为他们设置角色?我没有在表中指定角色,我可以硬编码它吗?我不期待任何其他用户,所以实现它是一个好主意吗?:
private final String ROLE = "ROLE_TEACHER";回答 1
Stack Overflow用户
回答已采纳
发布于 2020-07-26 23:00:14
Spring Security就很好了。顺便说一句,它也支持JWT令牌,但是除非你正在构建一个在其他地方的前端和一个RESTful服务器的全栈应用程序,否则你不一定需要它。Spring Security form登录就可以了。
实际上,您不需要两个UserDetailsServices,您只需确保为每个用户实体设置一个角色(当然,并将其与实体一起持久化)。
然后,您的UserDetailsService将如下所示:
public class SpringDataUserDetailsService implements UserDetailsService {
private UserService userService;
@Autowired
public void setUserService(UserService userService) {
this.userService = userService;
}
@Override
public UserDetails loadUserByUsername(String username) {
User user = userService.findByUserName(username);
if (user == null) {throw new UsernameNotFoundException(username); }
Set<GrantedAuthority> grantedAuthorities = new HashSet<>();
user.getRoles().forEach(r ->
grantedAuthorities.add(new SimpleGrantedAuthority(r.getName())));
return new org.springframework.security.core.userdetails.User(
user.getUsername(), user.getPassword(), grantedAuthorities);
}
}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/63101634
复制相关文章
相似问题
腾讯云开发者
