WHERE子句

您可以将它作为条件包含在WHERE子句中。例如，如果您正在更新记录X，则可能以下列内容开头：

UPDATE table_name SET column1 = value1 WHERE id = X

但是，您可以改为：

UPDATE table_name SET column1 = value1 WHERE id = X AND owner_id = Y

如果所有者不是Y，那么这个值就不会被更新。

@Query("UPDATE table_name SET column1 = ?value1 WHERE id = ?id AND owner_id = ?#{principal.ownerId}")
public int updateValueById(String value1, String id);

其中，principal是从Authentication#getPrincipal返回的值。

缓存

从技术上讲，缓存可以阻止第一次数据库调用，这是正确的，但它会引入其他复杂性。保持缓存新鲜就足够了，只有当引入缓存的复杂性显然会带来所需的、观察到的性能增益时，我才会尝试它。

@PostAuthorize

或者，您可以进行额外的调用，并使用框架来简化样板文件。例如，您可以在控制器中使用@PostAuthorize注解，如下所示：

@PutMapping("/updatevalue")
@Transactional
@PostAuthorize("returnObject?.ownerId == authentication.principal.ownerId")
public MyWidget update(String value1, String id) {
    MyWidget widget = this.repository.findById(id);
    widget.setColumn1(value1);
    return widget;
}

通过这种安排，Spring Security将根据登录的用户检查返回值的ownerId，如果失败，则事务将被回滚，并且更改不会进入数据库。
要使其正常工作，请确保Spring的事务拦截器位于Spring Security的授权后拦截器之前，如下所示：

@EnableMethodSecurity
@EnableTransactionManagement(order=-1)

这个解决方案的缺点是仍然有两个相同的DB调用。我喜欢它，因为它允许框架强制执行授权规则。要了解更多信息，请看一下遵循此模式的this sample application。