是否可以拥有Spring 3.0.5的只读用户?我知道您可以在类或方法上使用@Secured指定特定的授权用户,但是您是否可以列出无法运行方法的特定人员,而不是指定每个人都可以(假设用户必须通过身份验证才能达到这一点)?我们希望确保特定用户不会意外地运行可以更改数据的方法,而不会使将来添加更多角色变得更加困难。如果有人知道另一种方式可以做到这一点,我全都耳朵。谢谢。
答案 0 :(得分:2)
我不知道一种神奇地创建只读用户的方法。但是,您可以创建ROLE_UPDATE之类的角色,并通过@Secured("ROLE_UPDATE")保护执行创建/更新/删除的所有方法。然后,如果用户未被授予ROLE_UPDATE权限,他们将无法调用任何“写入”方法,因此它将仅限于调用“读取”方法。