阻止用户调用受保护的端点+OAuth2

如果您想坚持使用典型的REST样式API(即,要更新的用户配置文件的ID随请求一起发送),则必须向服务器端添加一些额外的检查。用于对用户进行身份验证的访问令牌包含用户的身份,这将导致相应的 Principal 请求范围中的对象。您必须检查此主体所代表的用户是否真的有权使用请求中的ID更新给定的用户配置文件。

例如,您可以首先从数据库加载具有给定ID的概要文件,然后检查用户名是否等于主体的用户名。这也可以由Spring Security完成 PreAuthorize 注释和它的论点中的一点特殊魔力。

另一种方法:远离REST样式的API,只需提供一个端点 /update-profile (或类似命名),不需要用户ID作为URL的一部分。然后,只需获取使用访问令牌指定的用户身份,并更新数据库中相应的概要文件。因此,用户只能更新她/他可以获取访问令牌的配置文件。-缺点是,您将无法允许某些超级用户或管理员在此设置中更新任何任意配置文件。

在angular中有一种很酷的东西叫做guards。此处是文档链接: https://angular.io/guide/router

请阅读有关Oauth2的Spring安全性。因为您同时实现了后端和前端,所以密码授予类型是合适的。Oauth 2.0规范在这里讨论了它: password grant type (aka, Resource Owner Password Credentials) 和 check this link as well 。

要回答您的问题,请在密码授予类型中使用用户名和密码来获取访问令牌。来自前端的每个请求都需要传递该访问令牌。安全端点将检查访问令牌是否有效,是否针对同一用户颁发。