Как предотвратить небезопасную прямую ссылку на объект (IDOR) с использованием самостоятельного JWT ⇐ JAVA

[Anonymous]

Я читал пружинную документацию по авторизации httpservletrequests и JWTS. /api/v1/venants/{tenantId}/user/{userId}/settings
Мне нужно убедиться, что пользователь 123 из арендатора 1 может только разрушить свои собственные настройки. Ни настройки других пользователей одного и того же арендатора, ни настройки пользователей других арендаторов.

Код: Выделить всё

@Configuration
@EnableWebSecurity
public class DirectlyConfiguredJwkSetUri {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/contacts/**").access(hasScope("contacts"))
.requestMatchers("/messages/**").access(hasScope("messages"))
.anyRequest().authenticated()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults())
);
return http.build();
}
}
< /code>
или на уровне метода: < /p>
@PreAuthorize("hasAuthority('SCOPE_messages')")
public List getMessages(...) {}

Я думал о том, чтобы дать всем своим пользователям rafe campope_tenant: {tenantid} при выпуске их jwt и делаю что-то подобное (их имя пользователя-их адрес электронной почты, поэтому я не могу использовать @preauthorize ("#userid == authentication.name"):


Подробнее здесь: https://stackoverflow.com/questions/795 ... issued-jwt