Web应用程序中的授权

时间:2016-03-05 08:30:29

标签: java spring authorization

我期待在我的一个项目中实施授权。我找到的一个选项是基于URL的弹簧安全性。这允许在ROLE的基础上进行控制。但是,如果具有VIEW角色的用户可以查看所有资源但无法编辑任何资源。 是否有任何可以提供此粒度的现有框架? ,因此,有了角色,就可以应用各种资源的权限。

由于

1 个答案:

答案 0 :(得分:1)

尝试以下解决方案。

<intercept-url pattern="/api/resource/employee/**"
        access="hasAnyRole('MANAGER','EMPLOYEE','HR')"
        method="GET" />
<intercept-url pattern="/api/resource/employee/**"
        access="hasAnyRole('MANAGER','HR')" method="POST" />