Controllo degli accessi basato sui ruoli con Spring MVC

Question

Vorrei conoscere le best practice per il controllo degli accessi basato sui ruoli con molla.

miei requisiti sono,

io ho posto dei ruoli assegnati agli utenti dirlo,

user1 = admin, user2 = esperto

user1 avrà gli accessi scrivere come

/admin/membro-managem ent

/admin/project-management

......

per user2 ....

/myproject1/*

così se l'utente2 prova a accedere all'URL

/admin/utente di gestione

sarà redirect alla pagina errore di autorizzazione.

Answer 1

Il framework standard da utilizzare con Spring MVC è Spring Security. Mentre può essere molto complessa, ecco una versione minima di quello che vi serve: 4.2.2 A Minimal Configuration

Nel tuo caso, la configurazione potrebbe essere qualcosa di simile:

<http auto-config='true'> 
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> 
</http> 

Answer 2

Primavera di sicurezza ha il concetto di ruoli, ma fuori la scatola non ha un concetto di permessi. Ha un concetto di ACLs ma questi ACL sono molto più complicati delle autorizzazioni e sono legati all'agire su oggetti specifici, piuttosto che autorizzare le azioni in generale.

Dai uno sguardo allo Apache Shiro. Ha ruoli e permissions che sembrano molto simili a ciò che hai dato come esempio (usando i caratteri jolly). È anche easy to use with Spring.