我有一些 RESTful 服务,用 Spring MVC 实现,暴露了一组资源。我已经使用了基于 HTTPBasicAuthentication 和 HTTPS 的身份验证。某些资源必须仅供某些用户访问。
例如,我希望 URI 中的所有子资源/users/{userid}/photos
都只能由 user 访问userid
。实际上,在我的应用程序中,所有经过身份验证的用户都可以访问它们。我怎样才能保护他们免受其他用户的伤害userid
?如果我想只允许一部分用户(例如userid
的朋友)访问这些资源怎么办?