Я работаю над приложением, в котором у каждого сотрудника есть собственные клиенты.
Когда сотрудник хочет отображать, модифицировать или удалять клиента, я хочу, чтобы этот клиент был одним из этих сотрудников. Это потому, что в URL, чтобы сделать эти действия какКаков правильный способ ограничения доступа к некоторым данным
www.xxx.com/customers/update/{idCustomer}
так, как я действительный доступ к клиенту на данный момент является вызовом службы (с доступом к базе данных), чтобы обеспечить этот клиент является одним из этого сотрудника ,
Это приложение написано на Spring MVC с функцией Spring Security. Я хотел бы знать, есть ли лучший способ сделать тот же доступ к ограничениям?
Это довольно широкий вопрос SO ... Похоже, что ответ безопасности Spring на вашу проблему - это защита объектов домена с ACL и ACE. Вы помещаете объекты домена на те же уровни полномочий, которые вы находите в файлах в достойной файловой системе, и управляете ими с помощью аннотаций метода. Возможно, это не самая простая часть Spring Security, но очень мощная. –
Вы можете добавить внешний ключ сотрудника в таблицу своих клиентов. Таким образом, вы можете контролировать, принадлежит ли клиент работодателю. Это может быть более простой способ решить вашу проблему –