Spring security Spring security在AccessDecisionVoter中访问请求参数和http会话
我有一个类实现了Spring安全性(2.5版)Spring security Spring security在AccessDecisionVoter中访问请求参数和http会话,spring-security,Spring Security,我有一个类实现了Spring安全性(2.5版)org.springframework.Security.vote.AccessDecisionVoter。访问决定基于根据用户http会话中保存的id列表检查请求的文章id。如果id存在,我将返回access\u grated 但是如何从accessDecisionVoter的vote()方法中获取请求参数和用户会话信息呢 感谢您的帮助。一种更好、更干净的方法可能是创建您自己的过滤器(可以轻松访问请求对象),为该用户添加授予的访问权限 更好地了解您
org.springframework.Security.vote.AccessDecisionVoteraccess\u gratedaccessDecisionVotervote()感谢您的帮助。一种更好、更干净的方法可能是创建您自己的过滤器(可以轻松访问请求对象),为该用户添加授予的访问权限 更好地了解您的需求和配置,但我要说的是,AccessDecisionVoter应该获得决策所需的所有参数:
- 身份验证对象应包含授权权限
- 被保护的对象应该是您的文章
- ConfigAttributes应该是用于做出决策的任何附加信息
public class SpecificArticlesGrantedAuthority implements GrantedAuthority {
private final Collection<Integer> grantedArticleIds;
//Constructor
//Getter for the IDs
}
public类specificArticlesGrandedAuthority实现GrandedAuthority{
私人最终收藏授权物品ID;
//建造师
//IDs的Getter
}
或者,使用PermissionEvaluator而不是AccessDecisionVoter,它更适合于类似ACL的功能(但仅从Spring 3.0开始提供)从
AccessDecisionVoter公共类MyAccessDecisionVoter实现AccessDecisionVoter{
@凌驾
公共布尔支持(ConfigAttribute){
返回false;
}
@凌驾
公共布尔支持(类clazz){
返回true;
}
@凌驾
公共整数投票(身份验证、筛选器职业fi、集合属性){
int result=访问\弃权;
HttpSession=null;
试一试{
session=fi.getRequest().getSession(false);
}捕获(不支持操作异常){}
if(会话!=null){
if(SessionAttributeListContainesArticleId){
结果=允许访问;
}
}
返回结果;
}
}