方法级别安全性,权限而非角色

时间:2011-10-26 17:27:33

标签: spring-security

  • 我想为我的spring应用程序提供方法级别的安全性。
  • 安全设计如下:用户>角色>权限
  • 当我将@PreAuthorizehasRole一起使用时效果很好。
  • 但是当我尝试将其与hasPermission一起使用时,它不起作用。
  • 我发现我应该使用 Spring ACL 来实现这种方法,但它似乎过度杀死了这个要求。
  • 因此,有任何方法可以在xml文件中定义角色权限,或任何其他解决方法或其他方法来获得方法级安全性权限一起使用而非角色,以及我们使用ACL。
  • 如果除了使用ACL之外没办法,那么请给我一个很好的例子

1 个答案:

答案 0 :(得分:3)

请阅读以下网站上的文章: http://springinpractice.com/2010/10/27/quick-tip-spring-security-role-based-authorization-and-permissions/

主要的是你需要实现UserDetails接口。它说 “UserDetails接口只是通过getAuthorities()方法公开权限(而不是角色)”

相关问题
最新问题