機能とは何ですか？春のセキュリティでユーザーが特定のコンテンツにアクセスするのを防ぐことができます

Question

私は春のセキュリティにはかなり新しく、この種の機能を検索する方法はわかりません。私の問題はです。私は春のセキュリティでユーザーを認証します。フォームベースの認証で言うことができます。したがって、ユーザーはログインしています。彼はアプリをナビゲートすることができます。 dbにトランザクションを格納し、idでそれらを取得するwebappがあるとします。トランザクションの詳細を表示する場合は、トランザクションIDとともにリクエストを送信します。したがって、例えば/ transaciontapp/gettransaction？id = 134です。前のページでは、アプリはその特定のユーザーに属するトランザクションのみを読み込んでいました。しかし今、私はどのidにもリンクを編集することができ、getメソッドを使うと、ログインしているユーザーであると思われるトランザクションを見ることができます。だから春のセキュリティでは、特定のユーザーに特定のコンテンツを制限するために、それをどのように処理できますか？

Answer 1

最初に全体的なアイデアを得るために、official Spring Security Referenceを読むことをお勧めしたいと思います。

出発点はプロジェクトに単純に追加することです。 Gradleを使用して依存関係compile('org.springframework.boot:spring-boot-starter-security')を追加します。次のステップは、そのための構成クラスを作成することです。これには、プロジェクトでの認証の仕組みが含まれています。

@EnableWebSecurity 
public class SecurityConfiguration extends WebSecurityConfigurerAdapter { 
    // your rules 
} 

これらのルールは、技術的に

• のようなトピックにアプローチする方法を定義します。たとえば、資格情報が保存されている
• ベースベースのHTTP基本認証、トークン、クッキーベース、フォーム：HTTPセッション管理のための
• セッティング異なる経路のための
• ルールを要求するためにメモリ内、カスタムUserDetailService実装
• は、フィルタを追加します。どのように守るべきか？匿名ログイン？ロール？クロスサイトリクエストフォージェリやクロスオリジン・リクエスト戦略

よう

セキュリティ上の懸念は、ドキュメントを読んで、このような基本的なものを尋ねる前に、春のセキュリティに関するその他のスタックオーバーフローの質問の多くを参照してください。