我需要实现一个crudrestapi来从react客户机使用。表单应允许查看/编辑活动，每个活动将包含多个资源。根据用户角色和活动状态，用户可以读取内容、编辑某些字段（在活动和/或资源级别）或具有完全编辑权限来编辑整个活动。
理想情况下，我希望集中逻辑，以确定用户可以在后端为特定活动执行什么操作，并将此信息提供给客户端，以便，例如，对于用户可以读取但不能修改的字段，值显示为只读。
spring在这方面提供了什么支持吗？在get响应中可以集成吗？
另外，我想知道是否有任何实体的部分更新支持。回到前面的只读属性示例，如果修改实体并将其发送回后端，则只读属性将不会是发送的表单的一部分。spring如何理解属性不应该更新而应该设置为null？
最后，考虑到安全性，spring如何防止客户机修改他/她无权更改的属性，而不是他/她可以编辑的活动？
谢谢！