我仍在开发我的第一个 Grails 应用程序。这一次,我的问题是限制特定用户对某些操作的访问。
假设用户添加了一些对象,例如图书。我想仅向管理员和添加该书的用户授予编辑书籍的权限。我目前正在使用 Acegi 插件。我知道该插件有更新版本,但我不确定它是否会改变我的问题。
第二件事有点相似。我有一个侧边栏,有“你好 ${currentUser.username}。currentUser 是一种返回当前登录用户实例的方法。但问题是我不知道我可以把这条消息放在哪里能够到处使用它。我应该把它放在某个服务中并在任何地方包含它吗?我尝试创建一个由所有其他控制器扩展的 ApplicationController,但这似乎不起作用。你有什么想法吗?
谢谢! 格热戈日
【问题讨论】:
标签: spring grails groovy spring-security
您应该使用较新的 Spring Security Core 插件,因为它有一个 ACL 附加插件,可以完全满足您的需求。详情请见http://grails.org/plugin/spring-security-acl。
对于第二个问题,有一个标签库。在 Acegi 插件中使用这个:
Hello <g:loggedInUserInfo field="username"/>
(参见http://www.grails.org/AcegiSecurity+Plugin+-+Artifacts)并在 Spring Security Core 插件中使用:
Hello <sec:username/>
(参见http://burtbeckwith.github.com/grails-spring-security-core/docs/manual/ 的“安全标签”部分)
【讨论】:
对于 ROLE 访问,您只需指定特定 URL 的特定 ROLE 可以访问该操作。也就是说,如果您使用插件的 RequestMap 方法。如果您使用注释方法,只需在控制器中注释操作:
@Secured(['WHATEVER_ROLE'])
只要只允许创建图书的用户编辑它,您可以使用 authenticateService.userDomain() 将用户域从身份验证中拉出,然后您可以将该用户与创建图书的用户进行比较(假设您的 Book 域上有某种 createdBy 属性。
def loggedInUser = authenticateService.userDomain()
if (book.createdBy.equals(loggedInUser)) {
// allow editing
}
反正就是这样。
【讨论】: