【发布时间】:2010-12-13 09:42:57
【问题描述】:
我正在寻找具有对象粒度的 Java Web 应用程序的安全框架。
这意味着我不只是想通过 url 或角色进行过滤,而是通过系统内域对象的特定用户所有权进行过滤。
例如,如果有一个 Message 对象,它有一个 Sender 用户和一个 Receiver 用户,我希望能够对其进行配置,以便每条消息都可以被它的发送者 RW 和 RO接收器。
或者例如,所有用户都可以查看所有用户个人资料,但只能由所有者编辑。
这个规则,当然,我想用元数据(注解、xml文件等等)来定义它们,而不是嵌入到我的业务逻辑中。
世界上真的有这样的野兽吗?最好是开源的。
【问题讨论】:
-
我对 Matt B 投了赞成票,但我建议在这里构建您自己的定制解决方案没有任何问题。通常倾向于尝试在通用框架中进行撬棍,而实际上,简单地编写自己的框架通常会降低风险/缩短开发时间,尤其是在您的权利模型听起来相当简单的情况下。
-
尽管如此,通用框架很可能确实适合您的用例,而且可能不值得花时间重新发明轮子并遇到并解决所有问题图书馆作者已经解决了。与所有事情一样,这是一个平衡和一个决定。
标签: java security spring-security access-control