用户的权限在我的 Web 服务中经常更改。
在这种情况下,如何有效地检查用户的权限?
我编写了临时检查每个控制器中用户权限的代码。但我认为这种方式不利于维护。
如何检查用户的权限而不在每个控制器中编写检查方法?
3590 次
3 回答
1
不确定您在做什么 - Spring Security 自动跟踪用户安全上下文中的权限。如果出于其他原因需要以编程方式检查,则实现HandlerInterceptor接口,并在 preHandle 方法中调用SecurityContextHolder.getContext().getAuthentication()以获取当前用户。然后您可以检查用户的权限。
拦截器将配置如下:
<mvc:interceptors>
<bean class="com.my.package.MyInterceptor" />
</mvc:interceptors>
于 2011-08-16T14:17:49.430 回答
0
intercept-url将具有所需角色的元素添加到您的配置中,例如。
<http auto-config='true'>
<intercept-url pattern="/**" access="ROLE_FOO" />
</http>
于 2011-08-16T21:22:51.660 回答
0
使用HandlerMethodArgumentResolver让 Spring 在控制器方法中注入 GrantedAuthority。如果一个用户可以拥有多个权限,那么您将需要创建一个类来保存用户的权限(可以命名为GrantedAuthorities)。完成后,您的控制器方法将如下所示:
@RequestMapping({"/xyz"})
public String handleXYZRequest(GrantedAuthorities authorities) {
/* use authorities if not null */
...
}
在解析器中,您将使用当前用于获取权限的相同代码,它将返回 null 或GrantedAuthorities对象。如果您使用的是旧版本的 Spring,请使用WebArgumentResolverAnnotationMethodHandlerAdapter 并将其注册。
上述方法避免了代码重复,它可用于从SecurityContextHolder控制器方法中注入您需要的任何内容。
编辑
这类似于温室使用的方法。请参阅WebConfig,其中主体(即 Account 对象)通过参数解析器注入控制器。
于 2011-08-16T21:50:01.623 回答