Java 管理ldap中的特殊角色_Java_Spring_Ldap_Spring Security

Java 管理ldap中的特殊角色

java spring ldap spring-security

Java 管理ldap中的特殊角色,java,spring,ldap,spring-security,Java,Spring,Ldap,Spring Security,我有一个配置了SpringSecurity的web应用程序，它从ldap树中获取用户和角色对于用户，我有一个dn ou=User，dc=application；对于角色，我有一个dn ou=Groups，dc=application 每个角色都是第二个子树中的一个条目，关联由角色条目中的属性成员进行实际上，我有5种不同的角色访问权限（角色A、角色B、角色C、角色D、角色E）：每个角色都授予访问特定url的权限。每个角色都是独立的角色子树模式（非常简单且不完整） ou=组，dc=应用程序。

我有一个配置了SpringSecurity的web应用程序，它从ldap树中获取用户和角色

对于用户，我有一个dn ou=User，dc=application；对于角色，我有一个dn ou=Groups，dc=application

每个角色都是第二个子树中的一个条目，关联由角色条目中的属性成员进行

实际上，我有5种不同的角色访问权限（角色A、角色B、角色C、角色D、角色E）：每个角色都授予访问特定url的权限。每个角色都是独立的

角色子树模式（非常简单且不完整）

ou=组，dc=应用程序。 --cn=A --cn=B --cn=C --cn=D --cn=E

现在，我必须满足插入3个新角色（ROLE_F、ROLE_G、ROLE_H）的请求，这些角色可以按照固定模式分配： -仅当用户处于角色到角色B、角色D、， -仅当用户处于角色C或角色E时，才能分配角色G -仅当用户处于角色A或角色B时，才能分配角色H

管理这三个新角色的最佳实践是什么？在应用程序中，我认为它们是独立的和管理的依赖项吗？

谢谢

是否有任何理由需要将新角色作为单独的项目进行管理，无论是现在还是将来某一天，例如，ROLE_F授予的权限将不适用于100%的ROLE_B人员？如果是这样，那么我会说他们应该分开管理，即使你只是怀疑有一天他们可能需要分开。。。毕竟，为了避免将来的麻烦，你最好现在就投入一点额外的努力

但是，如果您真正需要做的只是向现有组（本例中为ROLE_B）添加新权限（例如ROLE_F授予的权限），那么就不需要新角色。

是否有任何理由需要将新角色作为单独的项进行管理，在这种情况下，无论是现在还是将来某一天，例如ROLE_F授予的权限将不适用于100%的ROLE_B人员？如果是这样，那么我会说他们应该分开管理，即使你只是怀疑有一天他们可能需要分开。。。毕竟，为了避免将来的麻烦，你最好现在就投入一点额外的努力

但是，如果您真正需要做的是向现有组（本例中为ROLE_B）添加新权限（例如ROLE_F授予的权限），则不需要新角色。

ROLE_F（如ROLE_g和ROLE_H）包含特殊操作权限（管理功能），因此它们不会应用于100%的ROLE_B人员。另一个具体问题是，仅当用户具有role_B或role_D时，才会分配（或不分配）特定的role_f。我的另一个问题是，如何在ldap服务器中实现此方案。不幸的是，这些新角色添加的这些新权限无法与现有组关联，否则，我会将它们与实际的组关联。ROLE_F（如ROLE_G和ROLE_H）包含特殊操作权限（管理功能），因此它们不会应用于100%的ROLE_B人员。另一个具体问题是，仅当用户具有role_B或role_D时，才会分配（或不分配）特定的role_f。我的另一个问题是，如何在我的ldap服务器中实现此方案。不幸的是，这些新角色添加的这些新权限无法关联到现有组，否则我会将它们关联到实际组。