我们在域对象上使用Spring ACL。我有一个用例,用户可以获得对象的READ权限,但我们希望这些用户也能够撤销他们自己的权限(即删除他们自己的权限,并且只删除他们自己的对象授权)。
我一直在查看Spring Run-As文档。这会是最好的路径吗?目前,当我在Acl实现中调用deleteAce方法时(使用默认的AclImpl实现),我在AclAuthorisationStrategy中进行了检查,要求获得此更改的管理员权限。
答案 0 :(得分:2)
您应遵循的路径是实施符合您要求的自己的org.springframework.security.acls.domain.AclAuthorizationStrategy策略。然后将您的实现注入org.springframework.security.acls.domain.AclImpl或您使用的任何ACL实现。