認証に基づくJSON応答のフィルタリング

Question

認証やロールに基づいてオブジェクトのプロパティをフィルタリングしたいと思います。 たとえば、認証されたユーザーの場合は完全なユーザープロファイルが返され、非認証の場合はfilterdが返されます。

MappingJacksonHttpMessageConverterでどうすれば達成できますか？私はすでにJaskonのカスタムBeanを宣言している：

<bean id="objectMapper" class="com.example.CustomObjectMapper"/> 

    <bean id="MappingJacksonHttpMessageConverter" class="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter"> 
     <property name="objectMapper" ref="objectMapper"/> 
    </bean> 

    <bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter"> 
     <property name="order" value="1" /> 
     <!-- <property name="customArgumentResolver" ref="sessionParamResolver"/> --> 
     <property name="webBindingInitializer"> 
     <bean class="org.springframework.web.bind.support.ConfigurableWebBindingInitializer"> 
      <!-- <property name="conversionService" ref="conversionService" /> --> 
      <!-- <property name="validator" ref="validator" /> --> 
     </bean> 
     </property> 
     <property name="messageConverters"> 
      <list> 
       <bean class="org.springframework.http.converter.ByteArrayHttpMessageConverter" /> 
       <bean class="org.springframework.http.converter.StringHttpMessageConverter" /> 
       <bean class="org.springframework.http.converter.ResourceHttpMessageConverter" /> 
       <bean class="org.springframework.http.converter.FormHttpMessageConverter" /> 
       <ref bean="MappingJacksonHttpMessageConverter"/> 
      </list> 
     </property> 
    </bean> 

注：コントローラでは、私のように結果を書いています：あなたはJSONオブジェクト2つの別々の型を返すしたいしている場合

public void writeJson (Object jsonBean, HttpServletResponse response) { 
     MediaType jsonMimeType = MediaType.APPLICATION_JSON; 
     if (jsonConverter.canWrite(jsonBean.getClass(), jsonMimeType)) { 
      try { 
       jsonConverter.write(jsonBean, jsonMimeType, new ServletServerHttpResponse(response)); 
      } catch (IOException m_Ioe) { 
      } catch (HttpMessageNotWritableException p_Nwe) { 
      } catch (Exception e) { 
       e.printStackTrace(); 
      } 
     } else { 
      log.info("json Converter cant write class " +jsonBean.getClass()); 
     } 
    } 

Answer 1

（例えばfullProfileをし、 partialProfile）、2つの異なるURLを使用して2つの異なるサービスを作成することが最も効果的です。その後、Spring Securityのintercept-urlタグを使用して、通常の方法でこれらのURLへのアクセスを制御できます。

Answer 2

私はここにhttps://stackoverflow.com/a/39168090/6761668

をそのほとんどをしたあなたがする必要があるのは、おそらく現在のユーザを注入し、その役割に基づいて含めるかどうするかを決定する、独自のセキュリティルールに鉛筆です。私は、エンティティの列に注釈を使用：

import java.lang.annotation.Retention; 
    import java.lang.annotation.RetentionPolicy; 
    import java.util.Set; 
    @Retention(RetentionPolicy.RUNTIME) 
    public @interface MyRestricted { 
    String[] permittedRoles() default {}; 
    } 

列はこのように見えた：

final MyRestricted roleRestrictedProperty = pWriter.findAnnotation(MyRestricted.class); 
    if (roleRestrictedProperty == null) { 
     // public item 
     super.serializeAsField(pPojo, pJgen, pProvider, pWriter); 
     return; 
    } 

    // restricted - are we in role? 
    if (permittedRoles.contains(myRole)) { 
     super.serializeAsField(pPojo, pJgen, pProvider, pWriter); 
     return; 
    } 
    // Its a restricted item for ME 
    pWriter.serializeAsOmittedField(pPojo, pJgen, pProvider); 

：

@Column(name = "DISCOUNT_RATE", columnDefinition = "decimal", precision = 7, scale = 2) 
    @MyRestricted(permittedRoles = { "accountsAdmin", "accountsSuperUser" }) 
    private BigDecimal discountRate; 

ルールは、このように見えました