Spring-security сплит аутентификация и авторизация

Question

Я пытаюсь создать пользовательский логин для своего гибкого веб-приложения с помощью Spring-Security.У меня есть рабочая версия, где мы используем channelset.login с blazeds.

У меня проблема в том, что я хотел бы разделить аутентификацию и авторизацию.

Я хотел бы спроситьПользователь должен сделать некоторые выборы после аутентификации, чтобы определить его роли.

Поскольку роли, на которые пользователь уполномочен, определяются этим выбором.

Это означает, что пользователь должен пройти аутентификацию, а затемклиент должен сделать сервисный вызов в службу, а затем должен пройти процесс авторизации.

Кто-нибудь знает, возможно ли это, и дает несколько советов, как это можно сделать?

Заранее спасибо,

Арьен

Answer 1

Да, это не кажется слишком надуманным.Вы можете сохранить роли пользователей в базе данных, сделать каждую роль для новых пользователей чем-то вроде SIGNUP, которая позволит пользователю зарегистрироваться только после определения его новой роли, просто обновите эту роль и ограничьте новую роль от возможности обновленияроль снова, если вы не являетесь администратором.

Вы также можете переопределить процесс аутентификации, чтобы сделать все, что вы хотите сделать: http://mark.koli.ch/2010/07/spring-3-and-spring-security-setting-your-own-custom-j-spring-security-check-filter-processes-url.html

Сессионный объект может потребоваться обновить, если вы 'повторно использовать некоторую форму ORM.