25
Tôi đã sử dụng bảo mật mùa xuân với @PreAuthorize trên các phương pháp điều khiển của mình. Lý do của tôi là tôi muốn kiểm tra ủy quyền xảy ra dự đoán trong một lớp và càng sớm càng tốt trong yêu cầu. Tuy nhiên, tôi chỉ đọc tài liệu về bảo mật mùa xuân 3 và thấy rằng họ khuyên bạn nên áp dụng bảo mật mức phương thức trên lớp dịch vụ (nhưng họ không nói lý do tại sao).Chú thích cấp độ phương pháp bảo mật mùa xuân có nên được áp dụng ở lớp điều khiển hoặc lớp dịch vụ không?
Câu hỏi của tôi là: nên chú thích cấp phương pháp bảo mật mùa xuân được áp dụng ở lớp bộ điều khiển hoặc lớp dịch vụ? (Hoặc "cả hai", hoặc "nó phụ thuộc"?) Quan trọng hơn: tại sao?
Cảm ơn, bạn đã đề cập đến các đối số tốt để đặt bảo mật trên dịch vụ. Bạn sẽ xem xét những lý lẽ gì để đảm bảo một bộ điều khiển? Cũng cho ngữ cảnh, ứng dụng tôi có trong tâm trí về cơ bản có một phương thức dịch vụ cho mỗi điểm cuối của bộ điều khiển, vì dịch vụ của tôi định nghĩa các ranh giới giao dịch. Vì vậy, cùng một phương thức dịch vụ chỉ được gọi từ một nơi và không có khách hàng nào khác sử dụng dịch vụ. – Jay
Một lý do khác mà tôi nghĩ đến khi đặt ủy quyền cho dịch vụ là câu hỏi về ai có thể truy cập dịch vụ nào có thể là quyết định kinh doanh và như vậy có thể được định vị với logic nghiệp vụ. – Jay
Off đầu của tôi, tôi không có bất kỳ đối số tốt để đảm bảo một bộ điều khiển tùy thuộc vào một lớp dịch vụ. Điều đó không có nghĩa là chúng có thể không tồn tại trong các trường hợp cụ thể. Các yêu cầu của bạn có thể chỉ định các quy tắc dựa trên dữ liệu thường chỉ có sẵn trong tầng web, chẳng hạn như các tiêu đề yêu cầu. –