Oparta na rolach kontrola dostępu ze sprężyną MVC

Question

Chciałbym poznać najlepsze praktyki kontroli dostępu opartej na rolach z wiosną.

Moje wymagania są

będę musiał ustawić ról przypisanych do użytkowników powiedzieć,

user1 = Administrator, użytkownik2 = ekspert

user1 będzie mieć dostępy napisać jak

/admin/member-managem ent

/admin/project-management

......

dla User2 ....

/myproject1/*

tak jeśli użytkownik2 próbuje uzyskać dostęp do adresu URL url

/admin/członek zarządzania

będzie przekierowywać do strony niepowodzenia autoryzacji.

Answer 1

Standardowa struktura do użycia ze Spring MVC to Spring Security. Choć może to być bardzo skomplikowane, tutaj jest minimalna wersja tego, co trzeba: 4.2.2 A Minimal Configuration

W twoim przypadku, config byłoby coś takiego:

<http auto-config='true'> 
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> 
</http> 

Answer 2

Wiosna Bezpieczeństwo ma koncepcję ról ale OUT w polu nie ma koncepcji uprawnień. Ma on pojęcie ACLs, ale te listy ACL są o wiele bardziej skomplikowane niż uprawnienia i są powiązane z działaniem na konkretnych obiektach, w przeciwieństwie do autoryzowania działań w ogóle.

Spójrz na Apache Shiro. Ma role i permissions, które wyglądają bardzo podobnie do tego, co dałeś jako przykład (używając symboli wieloznacznych). Jest to również easy to use with Spring.