Question

我正在撰写以下内容

public interface SecurityService{

    public Error tryLogin(String usr, String psw);

    public String getRoleCurrentUser(); //Attention here
}

当然，会有几个实现。例如，现在我有

public SpringSecurityService{

     @Autowired
     AuthenticationManager authenticationManager;

     public Error tryLogin(String usr, String psw){
         //Implementation here
     }

     public String getRoleCurrentUser(){
           String role = null;
          //Getting the role of the current user
          //and if the user authorized 
          //assigning it to the role local variable
          return role;
     }
}

在SecurityService界面中，我使用了角色概念。我的问题是，角色概念的使用是否将代码与弹簧安全性相结合？

或者角色概念是严格的伪造概念，因此任何负责授权的安全框架都应该理解角色概念。

Answer 1

我强烈建议不要实施自己的逻辑。只需在SO中搜索许多失败的尝试。

有很多框架可以帮助您实现正在寻找的正确级别的访问控制。有些甚至在评论中提到过。

看看：

Spring Security
Apache Shiro
WSO2 IS

这些都是用于身份验证和/或授权的开源解决方案。

在更广泛的层面上，阅读两种流行的授权模型：

基于角色的访问控制（rbac - NIST definition）
基于属性的访问控制（abac - NIST definition）
XACML是实施ABAC的标准。

授权中的角色概念

1 个答案: