我的目标就是分配给用户权限。例如:
用户“John”属于角色ROLE_CUSTOMERS,拥有以下权限:'READ_MAILS','ADD_MAILS'。
用户“David”属于角色ROLE_USERS,拥有以下权限:'DELETE_MAILS'
我设法将用户和角色映射到ldap目录。 用户 - >约翰,大卫· 群组 - > ROLES_CUSTOMER,ROLE_USERS
但我错过了权限部分。
我不知道如何声明'READ_MAILS','DELETE_MAILS','ADD_MAILS'属性/权限/任务,或者你可以调用它。
我如何在ldap端为用户分配每个权限?
在让特定用户进行某些操作之前,如何在spring安全方面检索这些权限。
*我不确定我要求的这项要求被称为“许可”,如果我错了,请纠正我。
感谢, 射线。
答案 0 :(得分:1)
您正在寻找的是细粒度的权限/权利。那些通常不存储在LDAP中,而是存储在另一个解决方案中授权服务。
关于Spring Security,这个article可能有所帮助。另请考虑permissions上的Spring API文档。
我建议您考虑使用可扩展访问控制标记语言XACML的基于标准的方法。使用XACML,您可以使用来自LDAP的角色,然后编写规则,例如: a manager can edit accounts that are in the same region as the user.。请查看OASIS website或维基百科上的XACML以获取更多信息。