我的要求如下:我们有一个使用角色的应用程序让我们说(ADMIN / USER / GUEST),具体取决于他们可以访问应用程序上不同部分的角色。但是在特定部分中,其中一些可以看到一些操作/选项/按钮/选项卡,这意味着对于两个ADMIN用户,屏幕配置和可用选项可能不同。
我正在阅读关于DomainACL的Spring安全性和spring-security permissions,我相信使用DomainACL并不是我需要满足此要求的,因为我不需要具有对象粒度安全性。
我的问题是spring-security的特定开箱即用功能可以解决我不知道的这个要求,考虑到我需要在jsp中添加一些java标签来删除按钮/来自UI的控件。 其他问题是:没有DomainACL的权限就足以解决这个问题,或者我遗漏了一些东西。
基本上我需要保存可以为某些用户执行的操作+用户的角色,让我说我想在数据库中存储权限为“EXECUTE SEARCH”,“VIEW_USER_TAB”。
我使用spring-security3.2和jsp页面作为我的视图技术。
答案 0 :(得分:0)
我在我的应用程序中进行了ROLES和OPERATION。 看看这个答案,它帮助了我: Difference between Role and GrantedAuthority in Spring Security
基本上,文章所说的是角色和权限之间没有区别,这两者都被授予权限,需要置于安全上下文之上,以便能够管理对不同资源的访问。使用hasRole或hasPermission只是为了指定开发人员更具可读性的东西,但两者都在分析授予的权限域。