如何锁定Grails spring安全ui控制器?
我正在创建我的第一个Grails应用程序,并且正在使用SpringSecurityCore和SpringSecurityUI。我已经锁定了我在应用程序中创建的控制器,但在任何未经验证的用户都可以访问SpringSecurityUI控制器这一事实上还有一个漏洞。将这些控制器的访问权限限制为特定角色的正确方式是什么如何锁定Grails spring安全ui控制器?,grails,spring-security,Grails,Spring Security,我正在创建我的第一个Grails应用程序,并且正在使用SpringSecurityCore和SpringSecurityUI。我已经锁定了我在应用程序中创建的控制器,但在任何未经验证的用户都可以访问SpringSecurityUI控制器这一事实上还有一个漏洞。将这些控制器的访问权限限制为特定角色的正确方式是什么 我正在考虑在每个控制器上运行s2ui覆盖,然后在类级别实现安全注释。这是一种合理的方法吗?我通常为应用程序控制器使用注释,为spring security和spring security
我正在考虑在每个控制器上运行s2ui覆盖,然后在类级别实现安全注释。这是一种合理的方法吗?我通常为应用程序控制器使用注释,为spring security和spring security ui等插件提供的控制器使用
Config.groovy
中的静态规则:
grails.plugins.springsecurity.controllerAnnotations.staticRules = [
'/aclClass/**': ['ROLE_ADMIN'],
'/aclSid/**': ['ROLE_ADMIN'],
'/aclObjectIdentity/**': ['ROLE_ADMIN'],
'/aclEntry/**': ['ROLE_ADMIN'],
'/persistentLogin/**': ['ROLE_ADMIN'],
'/requestmap/**': ['ROLE_ADMIN'],
'/securityInfo/**': ['ROLE_ADMIN'],
'/registrationCode/**': ['ROLE_ADMIN'],
'/role/**': ['ROLE_ADMIN'],
'/user/**': ['ROLE_ADMIN'],
'/console/**': ['ROLE_ADMIN'],
'/register/**': ['IS_AUTHENTICATED_ANONYMOUSLY']
]
非常感谢你,那正是我要找的@ataylor我不知道你可以将静态规则与控制器注释混合在一起!这与数据库requestmaps相同吗?