在我正在工作的项目中,我们根据角色ID(而不是角色描述)进行身份验证,并且此映射存储在数据库中。
我的问题是,如何删除Spring Security的RoleVoter前缀以实现上述设计?
最佳答案
Spring security RoleVoter
需要一个前缀,以区分作为角色的已授予权限,请参阅此answer以获得更多详细信息。
如果要更改此设置,则始终可以提供自己的自定义AccessDecisionManager and configure it with a custom
RoleVoter`。
这是这种自定义访问决策管理器的示例:
public class MyAccessDecisionManager extends AffirmativeBased {
public MyAccessDecisionManager() {
super();
List<AccessDecisionVoter> decisionVoters = new ArrayList<AccessDecisionVoter>();
RoleVoter roleVoter = new MyCustomRoleVoter();
decisionVoters.add(roleVoter);
AuthenticatedVoter authenticatedVoter = new AuthenticatedVoter();
decisionVoters.add(authenticatedVoter);
setDecisionVoters(decisionVoters);
}
并使用它代替默认的访问决策管理器:
<bean id="myAccessDecisionManager" class="full.package.name.MyAccessDecisionManager" />
<security:http access-decision-manager-ref="myAccessDecisionManager">
...
</security:http>