Spring security 基于Roled的访问控制模型_Spring Security

Spring security 基于Roled的访问控制模型

spring-security

Spring security 基于Roled的访问控制模型,spring-security,Spring Security,我是建筑安全问题的新手。现在我正在开发一个基于RBAC模型的项目，我选择SpringSecurity3来实现它众所周知，在RBAC中，每个角色都有自己的权限，判断用户是否有权执行操作的方法是首先获取他的角色，然后获取角色拥有的所有权限。我认为权限决定了操作服务层（J2EE）的权限 Spring Security提供了注释或方面来保护服务层。但它们都是基于角色层次的，比如“hasRole”。这似乎切断了角色和权限之间的关系，因此让管理员分发权限是不灵活的解决这个问题的常用方法是什么？Sprin

我是建筑安全问题的新手。现在我正在开发一个基于RBAC模型的项目，我选择SpringSecurity3来实现它

众所周知，在RBAC中，每个角色都有自己的权限，判断用户是否有权执行操作的方法是首先获取他的角色，然后获取角色拥有的所有权限。我认为权限决定了操作服务层（J2EE）的权限

Spring Security提供了注释或方面来保护服务层。但它们都是基于角色层次的，比如“hasRole”。这似乎切断了角色和权限之间的关系，因此让管理员分发权限是不灵活的

解决这个问题的常用方法是什么？Spring Security是否启用权限保护的实现？

我认为有两种选择：

角色层次结构
ACL模块

您可以使用概念来实现相同的效果。在这种情况下，在Spring安全级别上，角色和权限都将表示为角色

中存在真正的权限。但它们通常用于阻止对某个域对象实例的访问，而不是阻止对某个服务的访问。所以我认为这不是你想要的