假设我有一个屏幕名称ITEM执行不同的操作:
保存,更新和删除。
我给了一个ADMIN为ADMIN的用户ADMIN,ADMIN角色只能在这个屏幕上执行SAVE和UPDATE操作。如何使用弹簧安全性
进行自定义方法级别安全性仅检查角色,但不会进一步检查,但必须具有弹簧安全性。
答案 0 :(得分:0)
1)您可以做的第一件事是根据角色隐藏/禁用选项URL。因此,具有ADMIN以外的角色的用户不能看到/单击SAVE和UPDATE 2)使用拦截器代替编写方法级代码,拦截每个请求并检查ROLE 有关详细信息,请查看此question。