Проверка полномочий на основе критериев с пружинной безопасностью?

Question

Как Spring Security поддерживает динамические роли и разрешения? Например, роль может быть сгенерирована во время выполнения конечными пользователями. Каждая роль может включать несколько разрешений, которые можно создавать / обновлять во время выполнения. Каждое разрешение основано на таких критериях, как удаление темы, если не предпринимать никаких действий в течение 3 месяцев. ACL весенней безопасности не может его поддерживать, поскольку записи acl_entry являются статическими, а не динамическими. Как настроить пружинную защиту для поддержки такого требования?

Answer 1

Spring Security 3 поддерживает авторизацию на основе выражений : позволяет выражать защищенные ограничения как произвольные выражения в Spring Expression Language .По умолчанию вы можете использовать методы SecurityExpressionRoot в этих выражениях.

Однако вы можете добавить свои собственные методы, настроив MethodSecurityExpressionHandler.createEvaluationContext(), чтобы вы могли определять произвольные критерии и использовать их в этих выражениях.Также см. В чем разница между @Secured и @PreAuthorize в Spring Secu 3 ?.