Spring Data Rest - 如何防止通过 PATCH 更新特定字段?

Posted

技术标签:

【中文标题】Spring Data Rest - 如何防止通过 PATCH 更新特定字段?【英文标题】:Spring Data Rest - How to prevent update of specific fields through PATCH? 【发布时间】:2018-03-31 16:34:30 【问题描述】:

我正在尝试使用 Spring Data REST 构建一个 RESTful API。我定义了以下领域模型,其中包含贷款及其状态。

public class Loan 

    @Id
    @GeneratedValue
    private Long id;

    private String loanTitle;

    private Double loanAmount;

    private Status status;


Status.java

public class Status 

    @Id
    @GeneratedValue
    private Long id;

    private String statusName;


现在要更新贷款的状态,我正在向端点 loans/id/updateStatus 发送一个 POST 请求,其中包含请求正文中的状态。但也有人可以使用 PATCH 请求更新状态,我不希望这种情况发生,因为在更新状态之前需要应用业务规则。

那么如何防止通过 PATCH 请求更新 Status 对象呢?

【问题讨论】:

一种方法是为状态对象定义一个 PATCH 资源并通过提供原因来拒绝请求 - 这是一种非常粗略的做法。另一种方法是创建一个 PATCH 资源并应用 RFC 6902 - tools.ietf.org/html/rfc6902 或 RFC 7396 - tools.ietf.org/html/rfc7396 标准,并说明为什么不允许更新状态对象。 使用 Jackson 注释对字段进行注释:@JsonProperty(access = Access.READ_ONLY) 应该会阻止更新。 @AlanHay 但这阻止了我使用 RepositoryEventHandler 为 POST 上的状态设置初始值。因此状态将始终为空。 为什么?它可以防止 JSON 绑定,但之后你可以做任何你想做的事情。为什么会阻止手动设置? 我刚刚发现我在事件处理程序上没有@Component 注释。我认为这不是必需的,因为我有 @RepositoryEventHandler 【参考方案1】:

我一直在寻找解决此问题的方法,并且发现了一些行之有效的方法。

只需覆盖模型中的设置器,并确保在允许设置新值之前基础属性为空。

示例代码适用于合并和 json-patch PATCH 类型,但是是 Kotlin(抱歉)

var uuid: String? = null
    set(uuid) 
        if (field == null) 
            field = uuid
        
    

【讨论】:

以上是关于Spring Data Rest - 如何防止通过 PATCH 更新特定字段?的主要内容,如果未能解决你的问题,请参考以下文章

无法在 Spring Boot Data Rest 中启用 CORS

是否有适用于 JPA、spring-data、spring-data-rest 的通用 REST 查询语言

使用 Spring Data REST 进行密码编码

如何在 Spring-Data-Rest 中实现细粒度的访问控制?

通过 REST 控制器使用 Spring Data JPA 和 QueryDsl 的异常

您如何保护 Spring Boot / Spring-Data Rest 以便用户只能访问他自己的实体