我用竹子创建了一个插件,里面有一个模块。
atlassian-plugin.xml:
<rest key="REST API Key" path="/plugin/myplugin/api" version="1.0">
<description>Rest API for plugin</description>
</rest>
现在我有一个类,其中包含一个方法:
@Path("/config/user")
@Consumes({MediaType.APPLICATION_XML, MediaType.APPLICATION_JSON})
@Produces({MediaType.APPLICATION_XML, MediaType.APPLICATION_JSON})
public class UserService {
@PUT
@Path("/add")
public Response addUser(User user){
return Response.ok().build();
}
}
任何有权访问Bamboo特定实例的用户都可以访问此特定端点mybamboo.host:6990/rest/plugin/myplugin/api/config/user/add。
现在我的问题是,是否可以仅限竹子管理员而不是所有用户访问此终点?
我知道通过扩展BambooActionSupport和实现GlobalAdminSecurityAware接口,可以使用webwork动作类。但是有没有类似的方法在休息模块中完成这种访问控制?
默认情况下,所有休息资源至少需要基本身份验证,请参阅Atlassian REST API Design Guidelines。
此外,您可以将com.atlassian.sal.api.user.UserManager注入到其余服务中并应用逻辑,如下所示:
String username = userManager.getRemoteUsername();
if ( userManager.isAdmin(username) || userManager.isSystemAdmin(username) ){
.....
}else if isUserInGroup(...){
...
}