新しいパスワードをCustomUsersCredentialsに追加するか、良いアイデアか悪い考えですか？

Question

ユーザーが資格情報を変更/更新できるように、REST APIエンドポイントを作成したいと考えています。

私は

はCustomUserDetailsを持っている：

@Entity 
@Table(name="ACCOUNT_USER") 
public class CustomUserDetails implements UserDetails { 

    private static final long serialVersionUID = 1L; 

    @Id 
    @NotBlank 
    @Column(name = "USERNAME", unique=true) 
    private String username; 

    @NotBlank 
    @Column(name = "PASSWORD") 
    private String password; 

    @Column(name = "LOCKED") 
    private boolean locked; 

    @ManyToMany(cascade=CascadeType.ALL, fetch=FetchType.EAGER) 
    @JoinTable(name = "USER_ROLE", 
       joinColumns = @JoinColumn(name = "USER_ID"), 
       inverseJoinColumns = @JoinColumn(name = "ROLE_ID")) 
    private Set<CustomRole> roles; 

    public CustomUserDetails(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities) { 
     this.setUsername(username); 
     this.setPassword(password); 
     this.roles = new HashSet<CustomRole>(); 
     for (GrantedAuthority authority: authorities) { 
      roles.add(new CustomRole(authority.getAuthority())); 
     } 
    } 

    public CustomUserDetails() { // jpa only 
    } 
    //setters and getters 
} 

レストコントローラは次のようになります。あなたが見ることができるように

@SuppressWarnings("rawtypes") 
@RequestMapping(value = "/singup", method = RequestMethod.PUT) 
public ResponseEntity updateCredentials(@RequestBody CustomUserDetails user, HttpServletResponse response) throws IOException { 

    logger.debug("Attempting credentials update " + user.getUsername()); 

    try { 
     authenticateUserAndSetSession(user, response); 
    } catch(BadCredentialsException ex) { 
     return SecurityUtils.createCustomResponseEntity(CustomStatusCode.BAD_CREDENTIALS); 
    } 

    customUserDetailsService.update(user, newPassword); // where to add this newPassword ? 

    return SecurityUtils.createCustomResponseEntity(CustomStatusCode.OK); 
} 

は、NOP CustomUserDetailsためnewPasswordのフィールドがあります。

このフィールドをこのオブジェクトに追加することは理にかなっていますか？他の選択肢は何ですか？この場合のベストプラクティスは何ですか？

Answer 1

CustomUserDetailsクラスにnewPasswordフィールドを追加するのは意味がありません。

第2に、別のエンドポイント（たとえば、/change_password,/update_passwordPOSTメソッドなどのエンドポイント）のパスワードのみを更新する方が良い方法です。しかしメソッドを/signupエンドポイントのCustomUserDetailsフィールドを更新することができますが、この場合はpasswordフィールドを無視してください。それをまっすぐに保たない方が良いです。

第三に、唯一このエンドポイント法は、ログインしているユーザーのすべてのために許可されているパスワード

を更新するためのベストプラクティス

1. 別のエンドポイント。
2. 次の2つの値を取る必要があります一つはoldPasswordであり、他のユーザーのハッシュログインの更新、パスワードの前にnewPassword
3. をされ、新旧両方のパスワード（ユーザーを作成したときにハッシュアルゴリズムが同じでなければなりません）。
4. DBから既存のハッシュされたパスワードと一致oldPasswordはその後、ハッシュされたnewPassword