我目前正在使用Grails的解决方案,我已经安装了以下安全插件:
我基本上会有一个具有以下安全结构的解决方案:
所以基本上我安装了Spring Security UI,以便允许各个业务区管理员管理他们自己的区域,他们应该能够使用UI,以便他们只搜索自己区域内的用户,创建用户在他们自己的区域,只在自己的区域编辑用户。但是,弹簧安全UI使具有访问权限访问权限的人可以执行任何操作。
我在弹簧安全域模型中添加了一个额外的字段,即“区域”,所以我想当管理员搜索用户时,他们只会看到与他们在同一区域的用户,当他们创建用户时只能为他们自己的区域这样做,他们只能编辑自己区域内的用户。
以下是spring安全性用户界面用于搜索用户的一些代码,我是否可以修改此代码以仅返回与当前登录的管理员位于同一区域的用户?还是有更好的方法?
def userSearch = {
boolean useOffset = params.containsKey('offset')
setIfMissing 'max', 10, 100
setIfMissing 'offset', 0
def hql = new StringBuilder('FROM ').append(lookupUserClassName()).append(' u WHERE 1=1 ')
def queryParams = [:]
def userLookup = SpringSecurityUtils.securityConfig.userLookup
String usernameFieldName = userLookup.usernamePropertyName
for (name in [username: usernameFieldName]) {
if (params[name.key]) {
hql.append " AND LOWER(u.${name.value}) LIKE :${name.key}"
queryParams[name.key] = params[name.key].toLowerCase() + '%'
}
}
String enabledPropertyName = userLookup.enabledPropertyName
String accountExpiredPropertyName = userLookup.accountExpiredPropertyName
String accountLockedPropertyName = userLookup.accountLockedPropertyName
String passwordExpiredPropertyName = userLookup.passwordExpiredPropertyName
for (name in [enabled: enabledPropertyName,
accountExpired: accountExpiredPropertyName,
accountLocked: accountLockedPropertyName,
passwordExpired: passwordExpiredPropertyName]) {
Integer value = params.int(name.key)
if (value) {
hql.append " AND u.${name.value}=:${name.key}"
queryParams[name.key] = value == 1
}
}
int totalCount = lookupUserClass().executeQuery("SELECT COUNT(DISTINCT u) $hql", queryParams)[0]
Integer max = params.int('max')
Integer offset = params.int('offset')
String orderBy = ''
if (params.sort) {
orderBy = " ORDER BY u.$params.sort ${params.order ?: 'ASC'}"
}
def results = lookupUserClass().executeQuery(
"SELECT DISTINCT u $hql $orderBy",
queryParams, [max: max, offset: offset])
def model = [results: results, totalCount: totalCount, searched: true]
// add query params to model for paging
for (name in ['username', 'enabled', 'accountExpired', 'accountLocked',
'passwordExpired', 'sort', 'order']) {
model[name] = params[name]
}
render view: 'search', model: model
}
编辑...
我认为它可能与以下代码有关:
def results = lookupUserClass().executeQuery(
"SELECT DISTINCT u $hql $orderBy",
queryParams, [max: max, offset: offset])
我想我只需要更改此语句,以便查找当前登录用户“Area”等于与用户相同区域的用户列表。谁能帮帮我呢?
编辑2 .....
我现在已经调查了这个并且已经能够获得用户区域,现在我需要做的就是将查询修改为数据库,以查找与管理员搜索具有相同区域的用户。我试过以下没有运气,有人可以帮我这个,因为我知道这一定很简单,似乎无法到达那里:-S
def user = springSecurityService.currentUser
def userArea = user.area
def hql = new StringBuilder('FROM ').append(lookupUserClassName()).append(' u WHERE 1=1 AND u.area = userArea')
编辑3 .......
非常感谢我的一半问题解决大声笑,现在只是Ajax片段:
我尝试了下面的代码,以便修改搜索Ajax函数,只返回用户的Area与当前登录用户相同的结果:
String username = params.term
String usernameFieldName = SpringSecurityUtils.securityConfig.userLookup.usernamePropertyName
def user = springSecurityService.currentUser
setIfMissing 'max', 10, 100
def results = lookupUserClass().executeQuery(
"SELECT DISTINCT u.$usernameFieldName " +
"FROM ${lookupUserClassName()} u " +
"WHERE LOWER(u.$usernameFieldName) LIKE :name AND LOWER(u.area) = :area " +
"ORDER BY u.$usernameFieldName",
[name: "${username.toLowerCase()}%"],
[area: "user.area"],
[max: params.max])
还尝试更改下面的参数:
[area: user.area]
答案 0 :(得分:1)
控制器正在构建HQL查询,因此您不能只说“WHERE u.area = userArea”,您需要使用命名参数并将值放在queryParams地图
def user = springSecurityService.currentUser
def hql = new StringBuilder('FROM ').append(lookupUserClassName()).append(
' u WHERE u.area = :userArea ')
def queryParams = [userArea:user.area]
对于问题的第二部分(Ajax位),我怀疑你需要LOWER转换,还需要将所有查询参数放到一个映射中(第二个map参数仅用于分页设置):
def results = lookupUserClass().executeQuery(
"SELECT DISTINCT u.$usernameFieldName " +
"FROM ${lookupUserClassName()} u " +
"WHERE LOWER(u.$usernameFieldName) LIKE :name AND u.area = :area " +
"ORDER BY u.$usernameFieldName",
[name: "${username.toLowerCase()}%", area:user.area],
[max: params.max])
如果您确实希望area检查不区分大小写,请将其保留为LOWER(u.area) = :area,但是您还需要将要测试的值转换为小写:
[name: "${username.toLowerCase()}%", area:user.area.toLowerCase()],