Damit Nutzer nur auf Resourcen zugreifen können, für die sie berechtigt sind, soll eine Zugriffskontrolle implementiert werden.
Die grobe Beschränkung nach authentizierte Nutzer und Rollen findet bereits in der Filter Chain statt (SecurityConfig.java). Es soll nun überprüft werden, ob ein einzelner Nutzer auf die angefragte Resource zugreifen darf.
Diese Überprüfung soll jeweils in der Service Klasse stattfinden.
ist ein Gast berechtigt dieses Event aufzurufen? (grantedEventIds des GuestAuthenticationPrincipal muss das Event beinhalten)
nur der Eventersteller darf das Event löschen
nur Event-Teilnehmer dürfen Änderungen am Event vornehmen (keine Gäste)
User
~nur der Benutzer selbst darf sein User Model abrufen und Änderungen vornehmen~ User Models können nicht durch Benutzer geändert werden, Daten werden beim OAuth2 Login automatisch aktualisiert.
Das EventStorming könnte eventuell auch hilfreich sein.
Aufgaben
[x] Implementierung der Zugriffskontrollen für Events
[x] Implementierung der Zugriffskontrollen für User
Kriterien für die Abnahme
Zugriffskontrollen für Events wurden implementiert
Zugriffskontrollen für User wurden implementiert
Gäste wurden bei den Zugriffskontrollen berücksichtigt
Beschreibung
Damit Nutzer nur auf Resourcen zugreifen können, für die sie berechtigt sind, soll eine Zugriffskontrolle implementiert werden.
Die grobe Beschränkung nach authentizierte Nutzer und Rollen findet bereits in der Filter Chain statt (SecurityConfig.java). Es soll nun überprüft werden, ob ein einzelner Nutzer auf die angefragte Resource zugreifen darf. Diese Überprüfung soll jeweils in der Service Klasse stattfinden.
Folgende Zugriffskontrollen müssen berücksichtigt werden:
grantedEventIds
des GuestAuthenticationPrincipal muss das Event beinhalten)Das EventStorming könnte eventuell auch hilfreich sein.
Aufgaben
Kriterien für die Abnahme