Авторизация для объектов в Java EE

Question

Мое веб-приложение требует контроля доступа к контенту, который отображается пользователям.Все пользователи могут получать доступ к одной и той же странице, но отображаемый контент будет зависеть от их прав доступа.

Например, если у меня есть следующие данные:

    Book    |    Roles
__________________________________
    foo     |    RoleA
    bar     |    RoleB
    baz     |    RoleA, RoleB

Пользователи, принадлежащие RoleAувидим foo & baz.

Я ищу каркас, который уже может это сделать.Требования в Контроль доступа к данным в технологиях Java EE аналогичны моим, и там была предложена Spring Security.

Однако я хотел бы иметь возможность изменять права доступа через пользовательский интерфейс без необходимости изменения кода и его повторного развертывания.Может ли Spring Security или какой-либо другой фреймворк сделать это?

Answer 1

Я думаю, что безопасность объекта домена описывает то, что я пытаюсь сделать, и Spring Security имеет компонент списка контроля доступа, который делает это.

Введение из справочной документации здесь .

Answer 2

Да, это на самом деле одна из основных функций Spring Security.

Когда пользователь входит в систему через Spring Security, UserDetailsService используется для загрузки дополнительных метаданных и прав пользователя. UserDetailsService похож на DAO и обычно используется для подключения к вашей БД и загрузки пользовательских данных в контексте безопасности.

Вы можете определить UserDetailsService в конфигурации пространства имен безопасности.

Этот поможет вам написать один.