0

我有一个自定义的 Autorization 模型,我想用 spring security 来表示:

我有角色和权限的概念:

@Entity
public class User
...............
@ManyToMany
@Column
private Set<Role> roles;


@ManyToMany
@Column
private Set<Permission> permissions;
  }

在我的自定义 UserdetailsS​​ervice 中,我有一种干净的方式来加载角色,但我在 spring-security 中找不到与权限相关的任何方式和任何组件:

public class BELUserDetailService implements UserDetailsService {

 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 User connectedUser = userRepositoy.findUserByUsername(username);

     Set<GrantedAuthority> authorities = new HashSet<GrantedAuthority>();
    for (Role r :connectedUser.getRoles()) {
        authorities.add(new SimpleGrantedAuthority(r.getRoleAWB().name()));
    }


    BELUserDetails belUserDetails = new BELUserDetails(connectedUser.getIdUser(), authorities);
.....
....
    }

}

我的角色是:

管理员 普通用户 交易用户

我的权限是:VALIDATE_TRANSATION INIT_TRANSACTION

功能用例是,如果您想要验证交易,您必须拥有 ROLE TRANSACTION USER 和权限 VALIDATE_TRANSACTION。

hasRole("ROLE_TRANSACTION_USER") and hasPermission("VALIDATE_TRANSACTION")

另一个重要的情况是,如果用户具有角色“ROLE_TRANSACTION_USER”和权限 VALIDATE_TRANSACTION ,我希望将来在尝试验证交易时使用 PermissionEvaluator 设置一些限制,他还必须有一个大于交易金额的 Amountlimit 并且PermissionEvaluator 这个功能很酷

这就是为什么我需要同时实现角色和权限概念

我将如何将我的权限添加到 spring-security 的标准流程中。

提前致谢 。

4

1 回答 1

1

默认情况下,您在 Spring Security 中只有权限。只需将您的所有角色和权限添加到权限集合中。然后你可以这样做:

hasRole("ROLE_TRANSACTION_USER") and hasRole("VALIDATE_TRANSACTION")

在大多数情况下,将两者混合不是问题。

您在Spring Security ACL 模块中具有权限,但仅当您希望每个域对象具有不同的安全规则时才需要 ACL。

编辑。我认为进行一些额外安全检查的最简单方法是使用 SpEL。例子:

@PreAuthorize("hasRole('ROLE_TRANSACTION_USER') 
     and hasRole('VALIDATE_TRANSACTION') 
     and @amountValidatorServiceBean.isAmountValidForCurrentUser(#amount)")
public void doTransaction(Integer amount, ...)
于 2013-08-30T15:19:32.487 回答