Siemka. Tworzę sobie RESTowy serwis przy pomocy Springa i relacyjnej bazy danych .Chciałbym zabezpieczyć dane by tylko ich właściciel miał do nich dostęp. Stworzyłem sobie bazę użytkowników i na razie podstawowe security przy pomocy JWT. W tokenie trzymam username i id użytkownika. Wpadłem na pomysł by w każdej tabeli dodać kolumnę owner i tam trzymać id użytkownika ( w encjach analogicznie ). Wtedy przy każdym pobieraniu zasobu bym wyciągał z security contextu id i porównywał ( nie niszczy to jakoś wydajności ? ) . Z drugiej strony mógłbym jakoś po prostu połączyć tabele user w relacje z zasobami i pobierać tylko na tej podstawie. Z Trzeciej może jakoś wykorzystać adnotacje @PreAuthorize(.......) ? Chciałbym jednocześnie pozostawić Adminowi możliwość pobieranie wszystkich zasobów. Temat wydaje się typowy, więc na pewno macie jakieś rozwiązanie i to lepsze niż moje podane :)
0
0
Ja bym użył PreAuthorize i sprawdził czy id-k się zgadza lub czy zalogowany użytkownik jest adminem...