Soonnoon
30
2021-11-27 14:57:43
2
106

URL 자원에 대한 조회 권한 처리에 대한 질문입니다.


안녕하세요.

Spring boot로 API 구현 중 URL 자원에 대한 권한에 대해 질문이 있습니다.


예시) /my-secrets/{id}


GET 메소드를 통해 자원을 조회할 때, URL 자체에 대한 접근 권한은 스프링 시큐리티를 통해 관리할 수 있는 것으로 알고 있습니다.

궁금한 것은 {id}를 통해 자원을 조회할 때, 자신의 자원만 접근할 수 있도록 하려면 어떻게 처리하는 것이 가장 좋을까요?


권한 설정을 하지 않으니 url 주소에서 id 값을 변경하면 다른 사람의 자원도 볼 수 있는 문제가 발생합니다.

귀한 시간 내주셔 고민을 같이 해주시면 감사하겠습니다..

0
  • 답변 2

  • 한국은역시자바
    1k
    2021-11-27 18:12:24

    시큐리티에 저장된 유저정보와 요청한 데이터의 정보를 비교해서 자신인지 아닌지 비교하시면 되지않을까요?

  • 라이칸
    841
    2021-11-28 21:07:20

    api 뒤에 아이디 별로 자원을 조회하게되기떄문에

    보통은  토큰 제공해서 하는경우도 있을거같네요 

    이커머스 쿠팡이나 11번가 쪽보시면 아이디에서 먼저 토큰을 제공받습니다

    그리고 그 토큰은 잃어버리면 문제생긴다고 공지를 하고 1달주기로 변경하거나 내부 정책을 이용해서 관리를 하는 식이죠

  • 로그인을 하시면 답변을 등록할 수 있습니다.