【发布时间】:2013-11-02 16:06:17
【问题描述】:
我在我的 Web 应用程序中使用 Spring 安全性,并使用 2 个标准授权级别“ROLE_USER”和“ROLE_ADMIN”。有没有可能我可以添加另一个级别?
【问题讨论】:
-
是的,但是如何定义自定义的?
标签: java spring jsp spring-mvc spring-security
【发布时间】:2013-11-02 16:06:17
【问题描述】:
只需将它们添加到您的拦截网址标签中。例如我有以下配置:
<security:http auto-config="false" use-expressions="true" access-denied-page="/denied.do"
entry-point-ref="authenticationEntryPoint">
<security:intercept-url pattern="/index.do" access="hasAnyRole('PROGRAM_VIEW', 'PROGRAM_ADMIN')"/>
<security:intercept-url pattern="/**" access="hasAnyRole('PROGRAM_VIEW', 'PROGRAM_ADMIN)"/>
<security:custom-filter ref="authenticationFilter" position="FORM_LOGIN_FILTER"/>
<security:logout invalidate-session="true" logout-success-url="/" logout-url="/logout.do"/>
</security:http>
我的其他角色是 PROGRAM_VIEW 和 PROGRAM_ADMIN(我没有使用 ROLE_ADMIN 和 ROLE_USER)。
这些额外的角色来自数据库。
【讨论】:
-
好的,太好了!例如,如果我想使用
-
是的。此处示例:docs.spring.io/spring-security/site/docs/3.0.x/reference/…(此处自定义角色为“主管”)。或查看stackoverflow.com/questions/11469211/…的讨论