2

用户的权限在我的 Web 服务中经常更改。
在这种情况下,如何有效地检查用户的权限?

我编写了临时检查每个控制器中用户权限的代码。但我认为这种方式不利于维护。

如何检查用户的权限而不在每个控制器中编写检查方法?

4

3 回答 3

1

不确定您在做什么 - Spring Security 自动跟踪用户安全上下文中的权限。如果出于其他原因需要以编程方式检查,则实现HandlerInterceptor接口,并在 preHandle 方法中调用SecurityContextHolder.getContext().getAuthentication()以获取当前用户。然后您可以检查用户的权限。

拦截器将配置如下:

<mvc:interceptors>
    <bean class="com.my.package.MyInterceptor" />
</mvc:interceptors>
于 2011-08-16T14:17:49.430 回答
0

intercept-url将具有所需角色的元素添加到您的配置中,例如。

<http auto-config='true'>
  <intercept-url pattern="/**" access="ROLE_FOO" />
</http>
于 2011-08-16T21:22:51.660 回答
0

使用HandlerMethodArgumentResolver让 Spring 在控制器方法中注入 GrantedAuthority。如果一个用户可以拥有多个权限,那么您将需要创建一个类来保存用户的权限(可以命名为GrantedAuthorities)。完成后,您的控制器方法将如下所示: 

@RequestMapping({"/xyz"})
public String handleXYZRequest(GrantedAuthorities authorities) {
    /* use authorities if not null */
    ...
}

在解析器中,您将使用当前用于获取权限的相同代码,它将返回 null 或GrantedAuthorities对象。如果您使用的是旧版本的 Spring,请使用WebArgumentResolverAnnotationMethodHandlerAdapter 并将其注册。

上述方法避免了代码重复,它可用于从SecurityContextHolder控制器方法中注入您需要的任何内容。

编辑

这类似于温室使用的方法。请参阅WebConfig,其中主体(即 Account 对象)通过参数解析器注入控制器。

于 2011-08-16T21:50:01.623 回答