YG
Ну и соотвественно закрыть эти каталоги в nginx
Ребят, кто может знает видео урок использования Spring Security JWT, OAuth2, OpenID На русском?
На английском индусов не возможно слушать
Size: a a a
2021 February 11
WP
СЕ
Wład Pachomenko
Ребят, кто может знает видео урок использования Spring Security JWT, OAuth2, OpenID На русском?
На английском индусов не возможно слушать
На английском индусов не возможно слушать
На ютюбе по jwt были русские видео, гугли
D
всем привет, гляньте плиз, может подскажите:
https://stackoverflow.com/q/66128118/4012848
там проблема с jpa/хибернейт
https://stackoverflow.com/q/66128118/4012848
там проблема с jpa/хибернейт
WP
сверху над классом не прописал какая это будет таблица
WP
AE
Андрій Гіщак
Порядок матчеров важен, более узкий ставь первым
AE
SecurityContextHolder.getContext().setAuthentication(auth) сделал?
Это делать не надо)))
AE
Андрій Гіщак
Готового разве нет?
AE
В системе spring boot + spring security используется ролевая модель (user, admin и т.д)
Пользователь с ролью user загружает файл (например копию паспорта) приложение сохраняет этот файл в файловой системе и в БД хранит только ссылку.
Каталог в который сохраняются файлы доступен для приложения и для Nginx который роутит запросы фронта, бека и отдает файлы из это папки.
Встала вполне логичная задача, чтобы файлы которые грузит пользователь были доступны для скачивания только этому пользователю и юзеру с конкретной ролью(например админ).
Может кто решал подобную задачу.
Подскажите в какую сторону можно погуглить?
Пока только идеи сделать томкат файловым сервером и "как-то обрабатывать" запросы на каждый файл.
Пользователь с ролью user загружает файл (например копию паспорта) приложение сохраняет этот файл в файловой системе и в БД хранит только ссылку.
Каталог в который сохраняются файлы доступен для приложения и для Nginx который роутит запросы фронта, бека и отдает файлы из это папки.
Встала вполне логичная задача, чтобы файлы которые грузит пользователь были доступны для скачивания только этому пользователю и юзеру с конкретной ролью(например админ).
Может кто решал подобную задачу.
Подскажите в какую сторону можно погуглить?
Пока только идеи сделать томкат файловым сервером и "как-то обрабатывать" запросы на каждый файл.
Делаешь эндпоинт на скачивание, туда передаешь ид файла, при запросе в бд физического расположения файла(пути) проверяешь пользователя, просто типо
where owner_id = :current_user_idAE
Если бд не вернула данные отдаешь 404
AE
Либо достаешь, проверяешь ид пользователя, если не совпал - 403
q
В системе spring boot + spring security используется ролевая модель (user, admin и т.д)
Пользователь с ролью user загружает файл (например копию паспорта) приложение сохраняет этот файл в файловой системе и в БД хранит только ссылку.
Каталог в который сохраняются файлы доступен для приложения и для Nginx который роутит запросы фронта, бека и отдает файлы из это папки.
Встала вполне логичная задача, чтобы файлы которые грузит пользователь были доступны для скачивания только этому пользователю и юзеру с конкретной ролью(например админ).
Может кто решал подобную задачу.
Подскажите в какую сторону можно погуглить?
Пока только идеи сделать томкат файловым сервером и "как-то обрабатывать" запросы на каждый файл.
Пользователь с ролью user загружает файл (например копию паспорта) приложение сохраняет этот файл в файловой системе и в БД хранит только ссылку.
Каталог в который сохраняются файлы доступен для приложения и для Nginx который роутит запросы фронта, бека и отдает файлы из это папки.
Встала вполне логичная задача, чтобы файлы которые грузит пользователь были доступны для скачивания только этому пользователю и юзеру с конкретной ролью(например админ).
Может кто решал подобную задачу.
Подскажите в какую сторону можно погуглить?
Пока только идеи сделать томкат файловым сервером и "как-то обрабатывать" запросы на каждый файл.
Точно не могу сказать, но возможно, spring acl решает эту проблему
AE
Точно не могу сказать, но возможно, spring acl решает эту проблему
1. из пушки по воробьям
2. лишний запросв бд
2. лишний запросв бд
q
1. из пушки по воробьям
2. лишний запросв бд
2. лишний запросв бд
Ваше решение не учитывает ролевую модель
AE
Ваше решение не учитывает ролевую модель
роль админ == не проверяем юзера
q
роль админ == не проверяем юзера
Роль может быть любая, и не одна
AK
Т.е. получается нужна ещё одна доп таблица где будет ссылка на файл и его автор ?
AE
вообще во всех приложениях безопасность идет от модели и бизнеса, в каждом приложении что то свое. мы обычно под каждое что то и пишем. главное определить общий механизм для конкретного приложения
q
Т.е. получается нужна ещё одна доп таблица где будет ссылка на файл и его автор ?
Да, но решение не очень хорошее