我正在尝试使用spring-security为我的flex web应用创建自定义登录。 我有一个工作版本,我们使用带有blazeds的channelset.login。
我遇到的问题是我想分割身份验证和授权。
我想让用户在认证后做出一些选择以确定其角色。
由于用户被授权的角色由此选择决定。
这意味着必须对用户进行身份验证,然后客户端需要对服务进行服务调用,然后才需要进行授权过程。
有谁知道这是否可行,并提供一些如何做到这一点的提示?
提前致谢,
罗
答案 0 :(得分:0)
是的,这听起来并不太牵强。 您可以将用户角色存储在数据库中,为新用户创建类似SIGNUP的角色,只允许用户注册,一旦确定了新角色,只需更新该角色并限制新角色无法更新角色,除非你是管理员。
您还可以覆盖身份验证过程以执行您想要执行的操作:http://mark.koli.ch/2010/07/spring-3-and-spring-security-setting-your-own-custom-j-spring-security-check-filter-processes-url.html
如果您正在使用某种形式的ORM,则可能需要刷新会话对象。