Rest Interface auf Spring JPA Repository abschalten

xdoo commented 9 years ago

Laut LOG werden Rest Endpunkte auf die Repositories erzeugt:

...
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}/{property}],methods=[GET],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryPropertyReferenceController.followPropertyReference(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable,java.lang.String,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws java.lang.Exception
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}/{property}/{propertyId}],methods=[GET],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryPropertyReferenceController.followPropertyReference(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable,java.lang.String,java.lang.String,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws java.lang.Exception
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}/{property}],methods=[DELETE],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryPropertyReferenceController.deletePropertyReference(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable,java.lang.String) throws java.lang.Exception
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}/{property}],methods=[GET],params=[],headers=[],consumes=[],produces=[application/x-spring-data-compact+json || text/uri-list],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryPropertyReferenceController.followPropertyReferenceCompact(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable,java.lang.String,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws java.lang.Exception
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}/{property}],methods=[PATCH || PUT],params=[],headers=[],consumes=[application/json || application/x-spring-data-compact+json || text/uri-list],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryPropertyReferenceController.createPropertyReference(org.springframework.data.rest.webmvc.RootResourceInformation,org.springframework.http.HttpMethod,org.springframework.hateoas.Resources,java.io.Serializable,java.lang.String) throws java.lang.Exception
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}/{property}/{propertyId}],methods=[DELETE],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryPropertyReferenceController.deletePropertyReferenceId(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable,java.lang.String,java.lang.String) throws java.lang.Exception
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/schema],methods=[GET],params=[],headers=[],consumes=[],produces=[application/schema+json],custom=[]}" onto public org.springframework.http.HttpEntity org.springframework.data.rest.webmvc.RepositorySchemaController.schema(org.springframework.data.rest.webmvc.RootResourceInformation)
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}],methods=[OPTIONS],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.optionsForItemResource(org.springframework.data.rest.webmvc.RootResourceInformation)
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}],methods=[HEAD],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.headForItemResource(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable) throws org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}],methods=[GET],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity> org.springframework.data.rest.webmvc.RepositoryEntityController.getItemResource(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}],methods=[PUT],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.putItemResource(org.springframework.data.rest.webmvc.RootResourceInformation,org.springframework.data.rest.webmvc.PersistentEntityResource,java.io.Serializable,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}],methods=[PATCH],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.patchItemResource(org.springframework.data.rest.webmvc.RootResourceInformation,org.springframework.data.rest.webmvc.PersistentEntityResource,java.io.Serializable,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws org.springframework.web.HttpRequestMethodNotSupportedException,org.springframework.data.rest.webmvc.ResourceNotFoundException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}/{id}],methods=[DELETE],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.deleteItemResource(org.springframework.data.rest.webmvc.RootResourceInformation,java.io.Serializable) throws org.springframework.data.rest.webmvc.ResourceNotFoundException,org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}],methods=[OPTIONS],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.optionsForCollectionResource(org.springframework.data.rest.webmvc.RootResourceInformation)
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}],methods=[HEAD],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.headCollectionResource(org.springframework.data.rest.webmvc.RootResourceInformation) throws org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}],methods=[GET],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.hateoas.Resources org.springframework.data.rest.webmvc.RepositoryEntityController.getCollectionResource(org.springframework.data.rest.webmvc.RootResourceInformation,org.springframework.data.rest.webmvc.support.DefaultedPageable,org.springframework.data.domain.Sort,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws org.springframework.data.rest.webmvc.ResourceNotFoundException,org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}],methods=[GET],params=[],headers=[],consumes=[],produces=[application/x-spring-data-compact+json || text/uri-list],custom=[]}" onto public org.springframework.hateoas.Resources org.springframework.data.rest.webmvc.RepositoryEntityController.getCollectionResourceCompact(org.springframework.data.rest.webmvc.RootResourceInformation,org.springframework.data.rest.webmvc.support.DefaultedPageable,org.springframework.data.domain.Sort,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws org.springframework.data.rest.webmvc.ResourceNotFoundException,org.springframework.web.HttpRequestMethodNotSupportedException
2015-08-21 08:02:29 [main] INFO  o.s.d.r.w.RepositoryRestHandlerMapping - Mapped "{[/{repository}],methods=[POST],params=[],headers=[],consumes=[],produces=[],custom=[]}" onto public org.springframework.http.ResponseEntity org.springframework.data.rest.webmvc.RepositoryEntityController.postCollectionResource(org.springframework.data.rest.webmvc.RootResourceInformation,org.springframework.data.rest.webmvc.PersistentEntityResource,org.springframework.data.rest.webmvc.PersistentEntityResourceAssembler) throws org.springframework.web.HttpRequestMethodNotSupportedException

...

Es muss geprüft werden, ob das ein Sicherheitsrisiko ist und ob wir dieses Feature benötigen. Ich tendiere dazu, es abzuschalten.

peter-mueller commented 9 years ago

Die Restpunkte sind komplett funktional (z.B: mit Relation hinzufügen, HATEOAS, GET POST PATCH und PUT):

spring_data_rest_kinder

Möglichkeit 1: Hiding certain Repositories mit @RepositoryRestResource(exported = false)

Die allgemeine Ausgabe wird dann trotzdem Sichtbar sein, jedoch werden die Endpunkte für die annotierten Repositorys nichtmehr erstellt.
Möglichkeit 2: Overriding Response Handlers

Die von Spring generierte API wird hier weitgehend verwendet, nurnoch anpassungen werden vorgenommen.

xdoo commented 9 years ago

Sind die Endpunkte abgesichert?

Möglichkeit 1: Was meinst du mit "allgemeine" Ausgabe?

Möglichkeit 2: Verstehe ich nicht. Kannst du das etwas mehr umschreiben :)

peter-mueller commented 9 years ago

Die Endpunkte sind nur mit der initialen authentifizierung abgesichert. Rollen und Rechte kennen die Repositories nicht.

Möglichkeit 1: Mapped "{[/{repository}/{id}/{property}],methods=[GET],params=[],headers=[],consumes=[],produces=[],custom=[]}" steht dann trotzdem da, es werden aber keine Endpunkte mehr erzeugt falls alle mit der Annotation abgesichert sind.
Möglichkeit 2 Spring Data Rest erstellt automatisch einen Controller über alle Entitäten, Relationen, HATEOAS... der funktioniert auch ootb schon (Siehe Screenshot: URL ist /buergers/... also nicht von unserem Controller)

Man könnte diesen vorgenerierten Controller in Struktur so übernehmen und entsprechende endpunkte überschreiben (Rechte und Rollen hinzufügen, Logic, usw... ).

xdoo commented 9 years ago

Im Englischen ist Plural immer ein s. Wie schön einfach kann die Welt sein :)

Ich halte von Möglichkeit 2 nicht viel, da es die Datenstrukturen der DB direkt in die Schnittstelle durch reicht. Eine Änderung im DB Modell schlägt sich gleich als Änderung in der API nieder. Die Schnittstellen sollten aber möglichst stabil gehalten werden. Auch ist die Granularität nicht immer deckungsgleich. Beispielweise sollte die Rest Schnittstelle bei einer 1:1 Beziehung (z.B, Wohnung/Adresse) EIN Objekt zurück geben, das beide Entiräten representiert.

Wenn man diese Probleme aus 2 ausbaut, dann würde ich rein gefühlsmäßig sagen, dass von den anfänglichen Vorteilen nicht mehr viel übrig bleibt.

Ich tendiere immer noch zu Möglichkeit 1 mit den Annotations.

peter-mueller commented 9 years ago

Möglichkeit 3:

Die Dependency für Spring Data Rest entfernen, da sie sowieso nicht genutzt wird.
```
<dependency>
 <groupId>org.springframework.boot</groupId> 
 <artifactId>spring-boot-starter-data-rest</artifactId>
</dependency>
```
Dann werden auch keine Meldungen mehr angezeigt.

Features

Supports JPA, MongoDB, Gemfire, and Neo4J Repositories

Create new entities (auto-generated or pre-assigned IDs are both supported) using POST

Update existing entities using PUT and PATCH

Delete entities using DELETE

Manage entity relationships using POST, PUT, DELETE

Discover services and get or list available entities using GET

Search entities through Repository query methods using GET

Validate entities with JSR-303 or Spring Validator beans

Extend the REST exporter's functionality by capturing ApplicationEvents

Configure path and rel values using annotations or DSL config helper

Page large results sets

Sort results

Use metadata (ALPS) to discover transitions and other details about the service

Projection alternate views of data and pick excerpt options to make certain ops more efficient

xdoo commented 9 years ago

Hört sich nach einer guten und pragmatischen Lösung an :)

BilelTmar commented 9 years ago

Ohne die Spring Data Rest dependency funktionieren die Tests für POST nichtmehr.

xdoo commented 9 years ago

Dann einfach die Dependency auf

<dependency>
   <groupId>org.springframework.boot</groupId> 
   <artifactId>spring-boot-starter-data-rest</artifactId>
   <scope>test</scope>
</dependency>

setzen. Das sollte ausreichen.

xdoo / vaadin-demo

Rest Interface auf Spring JPA Repository abschalten #62