Spring MVC, сервисы RESTful и стратегия Apache Shiro

Решение этой проблемы довольно простое. Я создал набор классов представления для Джексона:

public class SecureViews {
    public static class Public{};
    public static class Authenticated extends Public{};
    public static class User extends Authenticated{};
    public static class Internal extends User {};
}

Затем я аннотировал все методы получения для каждой сущности, которую я хочу защитить, добавив следующее:

@JsonView(SecureViews.Authenticated.class)
public String getPhoneNumber() {
    return phoneNumber;
}

Вышеупомянутое правило означает, что только пользователи, прошедшие аутентификацию в системе, могут просматривать номер телефона пользователя.

Or

@JsonView(SecureViews.User.class)
public List<Event> getEvents() {
    return Collections.unmodifiableList(events);
}

Затем я создал интерфейс и реализовал этот интерфейс во всех своих защищенных объектах:

public interface SecurePropertyInterface {
    Class<?> getMaxPermissionLevel(Long userID);
}

И вот реализация этого метода:

public Class<?> getMaxPermissionLevel(Long userID) {
        if (userID != null && userID == uid) {
            return SecureViews.User.class;
        }
        if (SecurityUtils.getSubject().isAuthenticated()) {
            return SecureViews.Authenticated.class;
        }

        return SecureViews.Public.class;
    }

Теперь о магии. Расширьте MappingJacksonJsonView и переопределите следующий метод:

@Override
protected void renderMergedOutputModel(Map<String, Object> model, HttpServletRequest request,
            HttpServletResponse response) throws Exception {

        Long userID = CTConversionUtils.convertToLong(request.getParameter("id"));
        model = (Map<String, Object>) super.filterModel(model);

        Class<?> viewClass = SecureViews.Public.class;

        if(SecurityUtils.getSubject().isAuthenticated()) {
            viewClass = SecureViews.Authenticated.class;
        }

        for (Entry<String, Object> modelEntry : model.entrySet()) {
            if (modelEntry.getValue() instanceof SecurePropertyInterface) {
                viewClass = ((SecurePropertyInterface)modelEntry.getValue()).getMaxPermissionLevel(userID);
            }
        }
        objectMapper.viewWriter(viewClass).writeValue(getJsonGenerator(response), model);
    }

Вы также можете переопределить метод setObjectMapper для захвата objectMapper, когда Spring устанавливает ваш MappingJacksonJsonView .

Моя конфигурация Spring выглядит так:

<bean
        class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver"
        p:order="1">
        <property name="mediaTypes">
            <map>
                <entry key="json" value="*/*" />
            </map>
        </property>
        <property name="defaultViews">
            <list>
                <bean
                    class="com.bytesizecreations.connecttext.json.SecureMappingJacksonJsonView">
                    <property name="objectMapper">
                        <bean
                            class="org.codehaus.jackson.map.ObjectMapper" />
                    </property>
                </bean>
            </list>
        </property>
    </bean>

Итак, что мы имеем здесь сейчас? Каждый раз, когда ответ необходимо десериализовать в JSON, вызывается метод renderedMergedOutputModel. Если идентификатор пользователя указан в запросе, мы его сохраняем. Затем мы можем просмотреть карту модели и проверить, является ли каждое значение SecurePropertyInterface и получает ли оно максимальный уровень разрешений.

Эта стратегия, кажется, служит моим целям должным образом. Когда пользователи запрашивают список пользователей, они получают только аутентифицированные свойства, но когда пользователи запрашивают свои собственные данные, они получают только свои личные свойства.

Я подозреваю, что этот код можно улучшить, но я потратил слишком много времени, пытаясь сделать его менее сложным.