Contrôle d'accès par rôle avec Spring MVC

Je voudrais connaître les bonnes pratiques pour le contrôle d'accès avec le printemps.

Mes exigences sont,

Je vais avoir un ensemble de rôles attribués aux utilisateurs disent,

user1=admin, user2=expert

user1 auront accès en écriture comme

/admin/membres-gestion

/admin/gestion de projet

......

pour user2....

/myproject1/*

donc si user2 essaie de accéder à l'url

/admin/membres-gestion

sera dirigée à l'échec de l'autorisation de page.

OriginalL'auteur Kamrul Hassan | 2011-08-24

  1. 6

    Le cadre standard pour une utilisation avec Spring MVC est Printemps De Sécurité. Alors qu'il peut être très complexe, voici une version minimale de ce que vous avez besoin de: 4.2.2 Une Configuration Minimale

    Dans votre cas, la config serait quelque chose comme ceci:

    <http auto-config='true'>
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
</http>

    OriginalL'auteur Sean Patrick Floyd

  2. 4

    Printemps de Sécurité a la notion de rôles, mais hors de la boîte, il ne dispose pas d'un concept de permissions. Il dispose d'un concept de Acl mais cette Acl est beaucoup plus compliqué que les autorisations, et ils sont liés à agir sur des objets spécifiques, par rapport à autoriser des actions en général.

    Prendre un coup d'oeil à Apache Shiro. Il a des rôles et des les autorisations qui ont l'air très similaire à ce que vous avez donné comme un exemple (à l'aide de caractères génériques). Il est également facile à utiliser avec le Printemps.

    +1 pour Apache Shiro 🙂

    OriginalL'auteur sourcedelica

  3. 0
    public class DashBoardController {

@Autowired
UserService userService;

private static final Logger logger = LoggerFactory.getLogger(DashBoardController.class);

@SuppressWarnings("unchecked")
@RequestMapping(value = PathProxy.DashBoardUrls.SHOW_DASHBOARD, method = RequestMethod.GET)
public String role(Locale locale, Model model) {
    String userRole = null;
    logger.info("dashboard Controller");
    Collection<SimpleGrantedAuthority> authorities = (Collection<SimpleGrantedAuthority>) SecurityContextHolder
            .getContext().getAuthentication().getAuthorities();
    for (SimpleGrantedAuthority simpleGrantedAuthority : authorities) {
        userRole = simpleGrantedAuthority.toString();
    }

    switch (userRole) {

    case "ROLE_ADMIN":

        return "dashboard/admin";

    case "ROLE_HR_MANAGER":

        return "dashboard/hr_manager";

    case "ROLE_MANAGER":

        return "dashboard/manager";

    case "ROLE_EMPLOYEE":

        return "dashboard/employee";

    case "ROLE_COMPANY_ADMIN":

        return "dashboard/admin";

    default:

        break;
    }

    return userRole;

}

    }

    OriginalL'auteur Aniket