Spring Data Rest - 如何防止通过 PATCH 更新特定字段？

Posted 2023-02-26

【中文标题】Spring Data Rest - 如何防止通过 PATCH 更新特定字段？

【英文标题】：Spring Data Rest - How to prevent update of specific fields through PATCH?

【发布时间】：2018-03-31 16:34:30

【问题描述】：

我正在尝试使用 Spring Data REST 构建一个 RESTful API。我定义了以下领域模型，其中包含贷款及其状态。

public class Loan 

    @Id
    @GeneratedValue
    private Long id;

    private String loanTitle;

    private Double loanAmount;

    private Status status;

Status.java

public class Status 

    @Id
    @GeneratedValue
    private Long id;

    private String statusName;

现在要更新贷款的状态，我正在向端点 loans/id/updateStatus 发送一个 POST 请求，其中包含请求正文中的状态。但也有人可以使用 PATCH 请求更新状态，我不希望这种情况发生，因为在更新状态之前需要应用业务规则。

那么如何防止通过 PATCH 请求更新 Status 对象呢？

【问题讨论】：

一种方法是为状态对象定义一个 PATCH 资源并通过提供原因来拒绝请求 - 这是一种非常粗略的做法。另一种方法是创建一个 PATCH 资源并应用 RFC 6902 - tools.ietf.org/html/rfc6902 或 RFC 7396 - tools.ietf.org/html/rfc7396 标准，并说明为什么不允许更新状态对象。

使用 Jackson 注释对字段进行注释：@JsonProperty(access = Access.READ_ONLY) 应该会阻止更新。

@AlanHay 但这阻止了我使用 RepositoryEventHandler 为 POST 上的状态设置初始值。因此状态将始终为空。

为什么？它可以防止 JSON 绑定，但之后你可以做任何你想做的事情。为什么会阻止手动设置？

我刚刚发现我在事件处理程序上没有@Component 注释。我认为这不是必需的，因为我有 @RepositoryEventHandler。

【参考方案1】：

我一直在寻找解决此问题的方法，并且发现了一些行之有效的方法。

只需覆盖模型中的设置器，并确保在允许设置新值之前基础属性为空。

示例代码适用于合并和 json-patch PATCH 类型，但是是 Kotlin（抱歉）

var uuid: String? = null
    set(uuid) 
        if (field == null) 
            field = uuid