如何按角色限制对 Spring Data REST 投影的访问？

在使用 Spring Data JPA 和 Spring Data REST 的应用程序中，假设您有一个如下所示的实体类：

@Entity
public class Person {

   @Id @GeneratedValue
   private int id;

   private String name;

   @JsonIgnore
   private String superSecretValue;

   ...

}

我们希望 Spring Data REST 公开该实体的所有字段，除了superSecretValue，所以我们用这个字段注释了@JsonIgnore.

然而，在某些情况下，我们确实希望访问superSecretValue，因此我们创建一个投影，它将返回包括该字段在内的所有字段：

@Projection(name = "withSecret", types = {Person.class})
public interface PersonWithSecret {

   String getName();
   String getSuperSecretValue();

}

惊人的。现在我们可以访问Person实体包括 the superSecretValue像这样的字段：

curl http://localhost:8080/persons?projection=withSecret

我的问题是我们怎样才能确保这一点投影？我们如何配置以便任何人都可以检索Person实体without the superSecretValue领域......但仅限于具有特定角色的人（例如，ROLE_ADMIN）可以使用投影来检索隐藏字段吗？

我发现了无数使用的例子@PreAuthorize or @Secured用于保护 Spring Data JPA 存储库 CRUD 方法的注释（例如save(), delete()）...但没有如何限制 Spring Data REST 投影的使用的示例。

您可以使用重载投影中的属性@Value使用条件 SpEL 表达式 - 就像这样已经回答过类似问题 https://stackoverflow.com/questions/28794145/spring-data-rest-security-based-projection/35399030#35399030.

考虑其他替代方案（其他方案已经提到）：

1. 模型重构。按访问逻辑拆分实体（例如PersonAccount)
2. 添加自定义端点以进行特殊逻辑和访问检查。例如，当前用户位于“/people/me”。
3. 自定义标准端点。例如，为“/people”、“/people/{id}”添加自定义控制器，该控制器将预处理并返回自定义Resource类型（DTO）取决于用户权限（例如返回PublicPerson反而Person）。然后，您可以编写自定义资源处理器来添加这些类型的自定义链接和自定义投影。

另请参阅： spring-data-rest 关于此主题的问题数据休息-428 https://jira.spring.io/browse/DATAREST-428.