0

我正在做一个基于浏览器的游戏。可以说我有一个弹簧控制器很多控制器〜10。每个都有 10 个 url 映射。这就像 100 多种映射方法。

如果满足某些规则,每个映射只会加载或显示正确的内容。将通过执行数据库查询来检查规则。例如

我是 12 级用户,只有当用户是 10+、20+、30+、40+、50+ 等时,每个控制器才允许显示内容。

我可以通过在每个控制器中的每个映射方法下进行查询来做到这一点,但是会有太多的样板化。

有没有办法以某种方式集中化,比如将我的限制映射放在一起,而不必将它放在每个 url 映射方法下?

即使设计上可能没有这样的事情,也许您自己也遇到过同样的问题并想出了一些聪明的解决方案?

4

1 回答 1

1

我建议您使用spring-security自定义PermissionEvaluator,这样您基本上可以在网页和控制器中使用相同的实现:

在您可以使用的网页中:
<security:authorize access="hasPermission(#shop,'see')"></security:authorize>

在您的控制器和您可以使用的任何服务方法中:
@PreAuthorize("hasPermission(#shop,'see')")

像这样:

@PreAuthorize("hasPermission(#shop,'see')")
@RequestMapping("/someUrl")
public String processSomeUrl(@ModelAttribute("shop") Shop shop){
    shop.getStuff();
}

或也@PostAuthorize@PostFilter("hasPermission(filterObject,'see')")(过滤列表)

所有这些功能将根据您自己的权限评估者限制访问或过滤结果列表。它们都将指向相同的实现,看起来像这样:

@Component
public class MyPermissionEvaluator implements PermissionEvaluator {

    private final Log logger = LogFactory.getLog(getClass());

    @Override
    public boolean hasPermission(Authentication auth, Object arg1, Object arg2) {
        logger.info("hasPermission "+auth+" - "+arg1+" - "+arg2+" ");
        if(arg2 instanceof String && arg1 instanceof Shop){
            Shop shop = (Shop)arg1;
            if(((String) arg2).equals("see")){
                //here you can have your own function
                boolean result = hasPermissionSeeShop(auth, project);                   
                return result;
            }
        }
        return false;
    }

    @Override
    public boolean hasPermission(Authentication arg0, Serializable arg1,
        String arg2, Object arg3) {
        logger.info("hasPermission "+arg0+" - "+arg1+" - "+arg2+" - "+arg3+" ");
        return false;
    }
}

此外,当这些方法返回 false 时,它​​会自动抛出 AccessDeniedException,您可以轻松地将其配置为在 http 元素中重定向到您自己的 accessDenied 页面:

<http auto-config="true">
    <intercept-url pattern="/admin*" access="ROLE_ADMIN" />
    <access-denied-handler error-page="accessDeniedPage"/>
</http>
于 2012-12-18T13:35:26.310 回答