Как мне установить роль администратора / суперпользователя, чтобы иметь полный доступ с помощью Spring Security?

Question

Я хочу ограничить доступ к каталогам на основе ролей, например:

<intercept-url pattern="/foo/**" access="hasRole('ROLE_FOO')"/>
<intercept-url pattern="/bar/**" access="hasRole('ROLE_BAR')"/>

Но я также хочу роль суперпользователя, которая может получить доступ ко всему, например:

<intercept-url pattern="/**" access="hasRole('ROLE_SUPERUSER')"/>

Есть ли способ сделать это, кроме использования hasAnyRole? например,

<!-- This seems ugly, with all the repeated references. OTOH, it's explicit -->
<intercept-url pattern="/foo/**" access="hasAnyRole('ROLE_FOO', 'ROLE_SUPERUSER')"/>
<intercept-url pattern="/bar/**" access="hasRole('ROLE_BAR') or hasRole('ROLE_SUPERUSER')"/>

Answer 1

В этой статье есть решение аналогичной проблемы. Вы можете игнорировать часть о JMX, для вас важен разговор о AccessDecisionManager и AccessDecisionVoter. Идея состоит в том, чтобы зарегистрировать пользовательский AccessDecisionVoter, который реализует логику if (superuser) grant access;.

Answer 2

Это похоже на случай RoleHierarchy.

Хотя я не могу найти хороший способ его настройки.Возможно, этот грубый подход сработает:

public class RoleHierarchyInjectionBeanPostProcessor implements BeanPostProcessor {        
    public Object postProcessAfterInitialization(Object bean, String beanName) {
        if (bean instanceof DefaultWebSecurityExpressionHandler) {
            ((DefaultWebSecurityExpressionHandler) bean).setRoleHierarchy(...);
        }
        return bean;
    }     
    ...
}