是否可以使用對象的屬性值來決定訪問權限？

Question

我是Spring Security的新手。我一直致力於創建一個自定義選舉器，根據對象的屬性值決定是否授予權限。也就是說，如果對象實例A具有值爲i的屬性X，則具有ROLE_MGR的用戶具有訪問權限。如果對象實例B在X屬性中具有值j，則ROLE_MGR不具有訪問權限。是否有可能這樣做，如果是這樣，我需要做什麼？如果這是不可能的，我們可能決定不使用Spring Security。

Answer 1

我想通了。我需要使用自定義權限評估程序。從我的代碼摘錄以下提供的人可能會試圖做同樣的事情：

的security.xml

<security:global-method-security 
    pre-post-annotations="enabled"> 
    <security:expression-handler ref="expressionHandler" /> 
</security:global-method-security> 

<bean id="expressionHandler" 
    class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler"> 
    <property name="permissionEvaluator"> 
     <bean id="permissionEvaluator" 
      class="org.krams.tutorial.infrastructure.SomePermissionsEvaluator" /> 
    </property> 
</bean> 

服務接口 @PostFilter（ 「調用hasPermission（filterObject， '讀'）」） public List getAll（）;

自定義權限計算器

@Override 
public boolean hasPermission(Authentication authorities, 
     Object targetDomainObject, Object permission) { 

    boolean Decision = false; 
    System.out.println("Initial Decision: " + Decision); 

    Date cutoffDate = null; 
    try { 
     cutoffDate = new SimpleDateFormat("MMMM d, yyyy", Locale.ENGLISH) 
       .parse("January 1, 2012"); 
     System.out.println("Cutoff Date: " + cutoffDate.toString()); 
    } catch (ParseException e) { 
     e.printStackTrace(); 
    } 

    System.out.println("Domain Object Date: " 
      + Post.class.cast(targetDomainObject).getDate()); 

    if (Post.class.cast(targetDomainObject).getDate().before(cutoffDate)) { 
     Decision = false; 
     System.out.println("In before"); 
    } else { 
     Decision = true; 
     System.out.println("In after"); 
    } 
    System.out.println("Final Decision: " + Decision); 
    System.out.println("--------"); 
    return Decision; 
} 

Answer 2

這可能，但首先看看Spring Security的域對象安全。這是用來授予細粒度訪問你的對象，看到這裏：http://static.springsource.org/spring-security/site/docs/3.0.x/reference/domain-acls.html