Остановить SpringSecurity от отправки автоматического 401, когда он не может найти входящий токен

Question

Рассмотрим запрос GET к контроллеру, который затем загружает ресурс из базы данных. Представьте, что ресурс базы данных имеет флаг. Флаг устанавливается, является ли ресурс общедоступным или нет. Если флаг ресурса равен true, просто верните ресурс. Если для ресурса установлен общедоступный флаг, установите значение false, тогда убедитесь, что входящий пользователь является правильным владельцем этого ресурса. Если пользователь не в этом случае отправить 401.

Как настроить Spring Security для учета этого варианта использования?

Answer 1

Как уже упоминалось, вы можете использовать @PostAuthorize.

Например, если у вас есть сервисный метод, который возвращает DatabaseResource, который имеет поля publicFlag и owner, следующий код выдаст AccessDeniedException, если publicFlag == false и owner != authentication.name.

@PostAuthorize("returnObject.publicFlag == true 
                 || returnObject.owner == authentication.name")
public DatabaseResource returnResource() {
    // load the resource...
    return databaseResource;
}