基于Spring Security Role过滤Jackson JSON输出内容

在本文中，咱们将展现如何根据Spring Security中定义的用户角色过滤JSON序列化输出。

为何咱们须要过滤？

---

让咱们考虑一个简单但常见的用例，咱们有一个Web应用程序，为不一样角色的用户提供服务。例如，这些角色为User和Admin。

首先，让咱们定义一个要求，即Admin能够彻底访问经过公共REST API公开的对象的内部状态。相反，User用户应该只看到一组预约义的对象属性。

咱们将使用Spring Security框架来防止对Web应用程序资源的未受权访问。

让咱们定义一个对象，咱们将在API中做为REST响应返回数据：

class Item {
    private int id;
    private String name;
    private String ownerName;
 
    // getters
}

固然，咱们能够为应用程序中的每一个角色定义一个单独的数据传输对象类。可是，这种方法会为咱们的代码库引入无用的重复或复杂的类层次结构。

另外一方面，咱们可使用Jackson库的JSON View功能。正如咱们将在下一节中看到的那样，它使得自定义JSON表示就像在字段上添加注释同样简单。

@JsonView注释

---

Jackson库支持经过使用@JsonView注解标记咱们想要包含在JSON表示中的字段来定义多个序列化/反序列化上下文。此注解具备Class类型的必需参数，用于区分上下文。

使用@JsonView在咱们的类中标记字段时，咱们应该记住，默认状况下，序列化上下文包括未明确标记为视图一部分的全部属性。为了覆盖此行为，咱们能够禁用DEFAULT_VIEW_INCLUSION映射器功能。

首先，让咱们定义一个带有一些内部类的View类，咱们将它们用做@JsonView注解的参数：

class View {
    public static class User {}
    public static class Admin extends User {}
}

接下来，咱们将@JsonView注解添加到咱们的类中，使ownerName只能访问admin角色：

@JsonView(View.User.class)
private int id;
@JsonView(View.User.class)
private String name;
@JsonView(View.Admin.class)
private String ownerName;

如何将@JsonView注解与Spring Security 集成

---

如今，让咱们添加一个包含全部角色及其名称的枚举。以后，让咱们介绍JSONView和安全角色之间的映射：

enum Role {
    ROLE_USER,
    ROLE_ADMIN
}
 
class View {
 
    public static final Map<Role, Class> MAPPING = new HashMap<>();
 
    static {
        MAPPING.put(Role.ADMIN, Admin.class);
        MAPPING.put(Role.USER, User.class);
    }
 
    //...
}

最后，咱们来到了整合的中心点。为了绑定JSONView和Spring Security角色，咱们须要定义适用于咱们应用程序中全部控制器方法的控制器。

到目前为止，咱们惟一须要作的就是覆盖AbstractMappingJacksonResponseBodyAdvice类的 beforeBodyWriteInternal方法：

@RestControllerAdvice
class SecurityJsonViewControllerAdvice extends AbstractMappingJacksonResponseBodyAdvice {
 
    @Override
    protected void beforeBodyWriteInternal(
      MappingJacksonValue bodyContainer,
      MediaType contentType,
      MethodParameter returnType,
      ServerHttpRequest request,
      ServerHttpResponse response) {
        if (SecurityContextHolder.getContext().getAuthentication() != null
          && SecurityContextHolder.getContext().getAuthentication().getAuthorities() != null) {
            Collection<? extends GrantedAuthority> authorities
              = SecurityContextHolder.getContext().getAuthentication().getAuthorities();
            List<Class> jsonViews = authorities.stream()
              .map(GrantedAuthority::getAuthority)
              .map(AppConfig.Role::valueOf)
              .map(View.MAPPING::get)
              .collect(Collectors.toList());
            if (jsonViews.size() == 1) {
                bodyContainer.setSerializationView(jsonViews.get(0));
                return;
            }
            throw new IllegalArgumentException("Ambiguous @JsonView declaration for roles "
              + authorities.stream()
              .map(GrantedAuthority::getAuthority).collect(Collectors.joining(",")));
        }
    }
}

这样，咱们的应用程序的每一个响应都将经过这个路由，它将根据咱们定义的角色映射找到合适的返回结果。请注意，此方法要求咱们在处理具备多个角色的用户时要当心。