我们正在探索银行Web应用程序权限机制的选项。
我们有一个非常简单的用例,或多或少会根据权限需求定义我们的要求:
"用户登录并批准总额5000 $的交易。他的角色"交易经理"允许他查看交易条目。他的角色是允许他 APPROVE 交易总和< = 6000 $"
是否有任何框架\库可以公开干净的API来实现这一目标? 我们的旧项目正在使用" Domain \ Action \ Instance"的权限模型。我们认为上述要求太复杂,无法用该模型实现。
答案 0 :(得分:2)
Spring Security是保护Spring MVC应用程序的事实标准,Spring MVC文档实际上是在Web Security章节讨论它。
它提供身份验证和基于角色的授权,您可以轻松地与您拥有的任何基础ACL系统集成,或计划实施
答案 1 :(得分:0)
使用Spring-security,它将提供基于角色的实现以及基于令牌的登录。