我期待在我的一个项目中实施授权。我找到的一个选项是基于URL的弹簧安全性。这允许在ROLE的基础上进行控制。但是,如果具有VIEW角色的用户可以查看所有资源但无法编辑任何资源。 是否有任何可以提供此粒度的现有框架? ,因此,有了角色,就可以应用各种资源的权限。
由于
答案 0 :(得分:1)
尝试以下解决方案。
<intercept-url pattern="/api/resource/employee/**"
access="hasAnyRole('MANAGER','EMPLOYEE','HR')"
method="GET" />
<intercept-url pattern="/api/resource/employee/**"
access="hasAnyRole('MANAGER','HR')" method="POST" />