我正在使用Spring Security,在某些情况下,在登录后,用户可以做一些应该让他访问某些资源的操作,所以理想情况下应该通过给这个用户一个新角色来完成。但是,org.springframework.security.core.userdetails.User类中的权限是不可修改的Set。因此,在给定的角色列表中不允许任何更改。 在这种情况下,开发人员通常会这样做(我确定这是很常见的正常行为)吗?
答案 0 :(得分:3)
一种有效的方法是查看您的角色并思考它们是否有意义。也许您需要拥有更多角色,因此用户可以在登录后立即执行所有操作。我想你可能需要“把你的角色分成小块”。
登录后不允许修改角色。而你并不打算这样做。这将对平台构成安全威胁。
我作为普通用户进行身份验证。执行一些代码并成为管理员。
我认为你应该重新发布登录信息。
乌