我想知道为通用用例定义RESTful服务的正确方法.

我正在编写一个RESTful API来更新当前用户的个人资料.我们应该在请求中发送当前用户的ID吗？这将需要在服务器端进行验证,以便用户只能编辑自己的详细信息.所以我需要添加对用户ID和Principal对象的检查.此外,客户端必须在某处维护当前用户ID.

POST /user/{id}

或者,我可以跳过发送用户ID并从Principal对象获取用户详细信息.我们知道没有像无状态安全API那样,它会是正确的方法吗？

我不知道Spring中的任何功能会根据第一种方法的要求为我验证当前用户.如果它存在,请告诉我.

最佳答案 考虑有权更新其他用户的管理员想要发送更新的情况.在这种情况下,它将是POST / user / {id}.对于普通用户来说,没有理由不应该这样.

使用Spring Security,您可以在控制器方法上使用@PreAuthorize表达式.它看起来像这样：

@PostMapping("/user/{id}")
@PreAuthorize("hasRole('ADMIN') || (principal.id == #id)")
public User updateUser(@RequestBody User newInfo, @PathVariable Long id) {
    ...
}