У меня есть приложение, которое разрешает токен OAuth2 с Spring Security. Использование тега @PreAuthorize, я могу легко убедиться, что пользователь имеет разрешения, прежде чем разрешить им доступ к методу:Spring Security - Дополнительные методы ограничения
@PreAuthorize("#oauth2.hasScope('account.read')")
public void getAccount(int accountId);
{
//return account
}
Это прекрасно работает на ограничивающих пользователях без account.read разрешения доступа к этому методе ,
Единственная проблема сейчас любой пользователь с этим разрешением может получить доступ к любой счет. Я хочу ограничить пользователей только доступом к их собственной учетной записи. Я уверен, что это общий сценарий. Как другие приложения справляются с этим?