Spring Data Rest - 如何防止通过 PATCH 更新特定字段?
Posted
技术标签:
【中文标题】Spring Data Rest - 如何防止通过 PATCH 更新特定字段?【英文标题】:Spring Data Rest - How to prevent update of specific fields through PATCH? 【发布时间】:2018-03-31 16:34:30 【问题描述】:我正在尝试使用 Spring Data REST 构建一个 RESTful API。我定义了以下领域模型,其中包含贷款及其状态。
public class Loan
@Id
@GeneratedValue
private Long id;
private String loanTitle;
private Double loanAmount;
private Status status;
Status.java
public class Status
@Id
@GeneratedValue
private Long id;
private String statusName;
现在要更新贷款的状态,我正在向端点 loans/id/updateStatus
发送一个 POST 请求,其中包含请求正文中的状态。但也有人可以使用 PATCH 请求更新状态,我不希望这种情况发生,因为在更新状态之前需要应用业务规则。
那么如何防止通过 PATCH 请求更新 Status 对象呢?
【问题讨论】:
一种方法是为状态对象定义一个 PATCH 资源并通过提供原因来拒绝请求 - 这是一种非常粗略的做法。另一种方法是创建一个 PATCH 资源并应用 RFC 6902 - tools.ietf.org/html/rfc6902 或 RFC 7396 - tools.ietf.org/html/rfc7396 标准,并说明为什么不允许更新状态对象。 使用 Jackson 注释对字段进行注释:@JsonProperty(access = Access.READ_ONLY)
应该会阻止更新。
@AlanHay 但这阻止了我使用 RepositoryEventHandler 为 POST 上的状态设置初始值。因此状态将始终为空。
为什么?它可以防止 JSON 绑定,但之后你可以做任何你想做的事情。为什么会阻止手动设置?
我刚刚发现我在事件处理程序上没有@Component
注释。我认为这不是必需的,因为我有 @RepositoryEventHandler
。
【参考方案1】:
我一直在寻找解决此问题的方法,并且发现了一些行之有效的方法。
只需覆盖模型中的设置器,并确保在允许设置新值之前基础属性为空。
示例代码适用于合并和 json-patch PATCH 类型,但是是 Kotlin(抱歉)
var uuid: String? = null
set(uuid)
if (field == null)
field = uuid
【讨论】:
以上是关于Spring Data Rest - 如何防止通过 PATCH 更新特定字段?的主要内容,如果未能解决你的问题,请参考以下文章
无法在 Spring Boot Data Rest 中启用 CORS
是否有适用于 JPA、spring-data、spring-data-rest 的通用 REST 查询语言
如何在 Spring-Data-Rest 中实现细粒度的访问控制?