Dlaczego funkcja RoleVoter Spring Security potrzebuje prefiksu?

Question

W naszej aplikacji zaplanowaliśmy używać mechanizmu RoleVoter ale chcielibyśmy usunąć przedrostek ROLE_ jako zabezpieczenie wdrażamy jest bardziej zadanie oparte niż roli opartej.

Technicznie, nie ma problemu z implementacją, ale znalazłem w dokumentacji, że using the RoleVoter with an empty prefix should be discouraged.

Zastanawiam się, dlaczego?

AFAICS, jedynym problemem jest to, że bez prefiksu The RoleVoter będą uczestniczyć w podejmowaniu decyzji, że nie ma (takich jak IS_AUTHENTICATED_FULLY, IS_AUTHENTICATED_REMEMBERED, ...) i moc wraca dostępu odmówiono zamiast powstrzymywać się .

Czy możesz potwierdzić, że jest to jedyny problem z pustym prefiksem?

góry dzięki M.

Answer 1

Tak. Jeśli używasz wielu wyborców lub niestandardowego wyborcy, muszą wiedzieć, które atrybuty powinny skonsumować. Na przykład, jeśli masz atrybut DayOfTheWeekVoter i masz zasób zdefiniowany atrybutami ROLE_USER,DAY_MONDAY, wtedy RoleVoter może głosować nad przyznaniem dostępu, ponieważ użytkownik ma rolę "Użytkownik", ale DayOfTheWeekVoter może odmówić dostępu, ponieważ nie jest to poniedziałek.

Jeśli nie skonfigurujesz RoleVoter z prefiksem, to sprawdzisz, czy użytkownik ma przypisaną uprawnienie "DAY_MONDAY", więc ten scenariusz nie zadziała.

Jeśli interesują Cię tylko role, możesz obejść się bez prefiksu lub użyć wyrażeń (takich jak hasRole('user')), które nie używają RoleVoter.