Безопасность
Модель аутентификации
WMS использует JWT-токены для аутентификации. Система имеет 3 независимых security filter chain, по одному для каждого API.
Три API и их аутентификация
| API | Префикс | Аутентификация | Аудитория |
|---|---|---|---|
| Employee API | /employee-api/ | JWT-токен от /auth/login (логин + пароль сотрудника) | Операторы склада, менеджеры |
| Merchant API | /merchant-api/ | Фиксированный API-ключ мерчанта (Bearer token) | Внешние системы, интеграторы |
| System API | /system-api/ | Системная аутентификация | Администраторы |
Employee API: получение токена
POST /employee-api/auth/login
Body: { "login": "...", "password": "..." }
Response: { "token": "eyJ..." }
Дополнительные endpoint'ы:
POST /auth/change-warehouse— смена текущего складаPOST /auth/change-workspace— смена рабочего пространства
Конфигурация
Класс ApiSecurityConfig определяет 3 SecurityFilterChain. Каждая цепочка:
- Матчит URL-паттерн (
/employee-api/**,/merchant-api/**,/system-api/**) - Применяет соответствующий фильтр аутентификации
- Настраивает CORS, CSRF, session management
Авторизация
Роли и привилегии
Employeeсвязан сRoleRoleсодержит набор привилегий- Привилегии привязаны к складу — проверяются с учётом текущего склада
- Method-level авторизация через
MethodSecurityConfig
Контроль доступа в формах
Каждый Template (ListTemplate / EditTemplate) принимает 4 привилегии:
read— просмотрcreate— созданиеupdate— редактированиеdelete— удаление
Методы isReadAllowed, isCreateAllowed, isUpdateAllowed, isDeleteAllowed проверяют привилегии текущего пользователя.
Multi-tenancy (изоляция мерчантов)
Механизм
@Filter(name = "merchantFilter")наBaseDoc— Hibernate автоматически фильтрует запросыMerchantFilterAspect— AOP-аспект, включающий фильтр на уровне сессииSecurityUtil— предоставляет текущего пользователя, мерчанта, склад из Security Context
Гарантии
- Все запросы к документам автоматически ограничены текущим мерчантом
- Мерчант устанавливается при создании документа из Security Context
- Невозможно получить доступ к документам другого мерчанта через API
Ключевые классы
| Класс | Роль |
|---|---|
ApiSecurityConfig | Конфигурация 3 security filter chains |
JwtTokenService | Генерация и валидация JWT-токенов |
EmployeeDetailsService | Загрузка данных сотрудника для аутентификации |
SecurityUtil | Получение текущего пользователя/мерчанта/склада |
MerchantFilterAspect | AOP для автоматического включения фильтра мерчанта |
MethodSecurityConfig | Method-level авторизация |