在我正在工作的项目中,我们根据角色ID(而不是角色描述)进行身份验证,并且此映射存储在数据库中。

我的问题是,如何删除Spring Security的RoleVoter前缀以实现上述设计?

最佳答案

Spring security RoleVoter需要一个前缀,以区分作为角色的已授予权限,请参阅此answer以获得更多详细信息。

如果要更改此设置,则始终可以提供自己的自定义AccessDecisionManager and configure it with a custom RoleVoter`。

这是这种自定义访问决策管理器的示例:

public class MyAccessDecisionManager  extends AffirmativeBased {


    public MyAccessDecisionManager() {
        super();
        List<AccessDecisionVoter> decisionVoters = new ArrayList<AccessDecisionVoter>();
        RoleVoter roleVoter = new MyCustomRoleVoter();
        decisionVoters.add(roleVoter);
        AuthenticatedVoter authenticatedVoter = new AuthenticatedVoter();
        decisionVoters.add(authenticatedVoter);
        setDecisionVoters(decisionVoters);

    }

并使用它代替默认的访问决策管理器:
<bean id="myAccessDecisionManager" class="full.package.name.MyAccessDecisionManager" />

<security:http access-decision-manager-ref="myAccessDecisionManager">
    ...
</security:http>

09-25 22:02