Стоит ли возвращать ROLE пользователя с backend после логина?

Question

[User .]

Приветствую всех,

Есть backend на котором происходит авторизация пользователя и в зависимости от ROLE пользователя ему становится доступный определенный функционал, естественно для каждого пользователя frontend будет отличатся.

Вопрос: после удачного логина требуется ли возвращать ROLE пользователя на frontend?
1. Т.е юзер отправляет post/get на backend
2. в ответ получает свой номер сессии(который содержится в cookie)
И например Role в json/xml например {"role:" "admin"}
3. После данная роль используется уже в frontend в течении всей работы юзера.

Answer 1

[Орхан Гасанлы]

Нет необходимости.
Если речь идет о Spring, то вы наверняка, используете Spring Security.
Соответственно, смотрите в сторону hasAuthority() hasRole() @PreAuthorize() (необходимо его для начала "включить"). Используя @PreAuthorize вы можете ограничивать доступ на уровне класса контроллера или метода.
Также вы можете проверять права юзера в шаблоне, если используете шаблонизаторы типа thymeleaf, freemarker, mustache. Надо будет только подключить дополнения. Например, thymeleafExtras

Кукис конечно является решением, но проблема в том, что ее можно отредактировать. А соответственно, юзер может получить доступ к админ правам... Так что... лучше этого не делать.

Comments

[User .]

Да все верно используется именно Springboot и модуль springsecurity
я могу вам заплатить за исправление текущего проекта?
требуется просто возвращать роль.

[Орхан Гасанлы]

JavaUser Spring, я и сам начинающий разработчик по Java. Насчет платной помощи, вам лучше обратиться во фриланс биржу. Например, на kwork или на фрилансим.
Что касается решения вопроса, то я вам уже подсказал. Используя аннотации вы можете проверять роль юзера и показывать или скрывать тот или иной код/функционал и т.д.