使用Grails Spring Security和Spring Security ACL。 我有一个控制器:
class AdminCompanyController {
@PreAuthorize("hasRole('ROLE_ADMIN')")
def create() {
println("create")
[company: new Company()]
}
}
即使只有ROLE_USER角色的用户也可以访问create()操作。
我知道我可以使用spring security annotation @Secured来做这件事,但我想用ACL来做。
如何阻止没有ROLE_ADMIN的用户使用ACL访问create()操作?
编辑:我使用Grails 2.4.5和
compile ":spring-security-core:2.0-RC5"
runtime ':spring-security-acl:2.0-RC2'
答案 0 :(得分:0)
@PreAuthorize必须在服务中使用。在控制器中,你必须留在@Secured。